浏览器程序和 CA/浏览器论坛(CA/B 论坛)定义的行业范围要求正在更改如何颁发和验证公共 TLS 证书。 为了继续符合这些要求,Azure 应用服务将更改应用于应用服务托管证书(ASMC)和应用服务证书(ASC)。
大多数使用 Azure 应用服务中的证书的客户不需要采取措施。 但是,某些方案可能需要客户作以避免服务中断,或者可能会更改证书随时间推移的管理方式。 本文介绍了正在发生的更改、何时需要采取措施及预计会对运营产生的影响。
Scope
本文适用于:
- 应用服务托管证书 (ASMC)
- 应用服务证书 (ASC)
需要采取行动时
仅在以下方案中需要执行作,以避免服务中断:
证书固定
在证书链迁移之前,绑定证书或证书链的应用必须检查并移除这些绑定。相互传输层安全(mTLS)
依赖这些证书进行客户端身份验证的应用必须转换为备用身份验证机制。
如果这两种方案均不适用,则无需立即执行任何作。
需要注意的操作变更
某些方案不需要立即作,但可能需要更改一段时间内管理证书的方式:
导出应用服务证书
如果导出证书以在 Azure 应用服务外部使用,则可能需要由于有效期缩短而更频繁地重新导出和更新它们。域所有权验证(仅限 ASC)
证书颁发、续订或重新密钥可能需要更频繁的域所有权验证。
快速参考:正在更改的内容
| 更改区域 | 受影响的证书类型 | 客户影响 |
|---|---|---|
| 证书有效期 | 仅限 ASC | 重叠颁发下的较短有效期限 |
| 域验证重用 | 仅限 ASC | 需要更频繁的域验证 |
| 证书链 | ASMC 和 ASC | 必须移除证书绑定 |
| 客户端身份验证 EKU | ASMC 和 ASC | 不再支持基于这些证书的 mTLS |
证书有效期(仅限 ASC)
有哪些变化
从 2026 年 3 月开始,应用服务证书的有效期较短为 198 天 ,以符合 CA/浏览器论坛定义的行业要求,包括 CA/浏览器论坛投票 SC-081v3 中引入的计划。
对应用服务管理证书的影响 (ASMC)
无更改。 ASMC 已经符合新的行业要求。
对应用服务证书的影响 (ASC)
为了维持一年的证书覆盖范围,Azure 应用服务会自动颁发重叠证书,无需额外付费。
- 如果应用服务证书仅用于 Azure 应用服务,则无需执行任何作。 平台会自动同步和更新证书。
- 如果在 Azure 应用服务外部导出和使用证书,则由于有效期较短,可能需要更频繁地重新导出证书。
域名验证重用(仅限 ASC)
有哪些变化
从 2026 年 3 月开始,应用服务证书的域所有权验证最多可以重复使用 198 天 ,以符合 CA/浏览器论坛定义的行业要求。
对应用服务管理证书的影响 (ASMC)
无更改。 ASMC 的域所有权验证是自动化的,无需客户作。
对应用服务证书的影响 (ASC)
- 在 2026 年 3 月之前完成的域验证不能重复使用。 从 2026 年 3 月开始的证书颁发需要域所有权验证。
- 在 2026 年 3 月期间,每个续订和重新密钥可能需要再次验证域所有权。
- 2026 年 3 月之后,仅当域在过去 198 天内未验证时,才能重新验证域所有权。
- 应用服务证书不会自动重新验证域。
如果需要验证,证书订单将保持待发行状态,直到验证完成。
重要
未能完成域验证可能会导致证书颁发或续订失败,这可能会导致证书过期和服务中断。
客户端身份验证 EKU (ASMC 和 ASC)
应用服务托管证书和应用服务证书将停止支持客户端身份验证扩展密钥使用情况(EKU),作为行业驱动的公共 TLS 证书更改的一部分。
有关跨 Azure 服务的此更改的背景信息,请参阅 对托管 TLS 功能的更改。
注释
依赖这些证书进行相互 TLS(mTLS)的应用必须在迁移日期之前转换为备用身份验证机制。
证书链更改(ASMC 和 ASC)
应用服务托管证书和应用服务证书都将作为 TLS 证书行业驱动更新的一部分迁移到新的证书链,其中包括证书颁发机构和中间人的更改。
在迁移日期之前,绑定证书或证书链的应用必须进行检查并解除绑定,以避免服务中断。
有关跨 Azure 服务的托管 TLS 证书颁发机构更改的背景信息,请参阅 对托管 TLS 功能的更改。
注释
不建议将证书固定用于应用服务托管证书 (ASMC),因为证书颁发和轮换由服务控制。
对于应用服务证书(ASC),证书绑定也可能因证书链更改而中断,应在迁移之前仔细检查。
关键日期时间线
| 日期 | 更改 | ASMC | ASC |
|---|---|---|---|
| 2026 年 2 月-3 月 | 新建证书链 | 迁移到新链 | — |
| 从 2026 年 3 月开始 | 有效期 + 验证重用 | — | 缩短有效期和验证复用 |
| 2026 年 3 月-4 月(TBD) | 新的证书链 + 客户端身份验证 EKU | — | 已迁移到新链;已删除 EKU |
| 2026 年 3 月-4 月(TBD) | 客户端身份验证 EKU | 已删除 EKU | — |
常见问题解答
由于有效期较短,是否会丢失证书覆盖范围?
否。 对于应用服务证书,Azure 应用服务会自动颁发重叠证书,以保持购买的完整期限的持续覆盖范围。
这些更改是否特定于 DigiCert 或 GoDaddy?
否。 这些更改由浏览器程序和 CA/浏览器论坛驱动,它们适用于所有证书颁发机构颁发的公共 TLS 证书。
这些更改是否会影响来自其他证书颁发机构的证书?
是的。 这些是适用于公共 TLS 证书的行业范围更改,无论颁发证书颁发机构如何。 对于 Azure 应用服务未管理的证书,请联系证书颁发机构获取指导。
是否需要立即采取措施?
如果不固定证书,也不将这些证书用于相互传输层安全 (mTLS),则无需立即采取任何行动。
为什么我的应用服务托管证书在 2026 年 4 月显示到期日期,即使它最近续订?
应用服务托管证书的有效期约为六个月,该有效期已符合当前的行业要求。
2026 年 4 月到期日期与证书有效性更改无关。 它反映了整个行业发生的证书链转换,以保持浏览器信任。
从现有证书链颁发的证书只能颁发到 2026 年 4 月。 为了解决此问题,Azure 应用服务正在将应用服务托管证书迁移到新的证书链,并从该链重新颁发证书。
对于按预期使用应用服务托管证书的客户,此过程是完全自动化的,不会造成任何服务中断。 最佳做法是,不应固定应用服务托管证书,因为证书及其颁发链都由平台管理和轮换。
相关文档
- 应用服务托管证书
- 应用服务证书
- 在 Azure 应用服务中配置 TLS/SSL 绑定