Změny certifikátu Azure TLS
Důležité
Tento článek byl publikován souběžně se změnou certifikátu TLS a neaktualizuje se. Aktuální informace o certifikačních autoritách najdete v podrobnostech certifikační autority Azure.
Microsoft používá certifikáty TLS ze sady kořenových certifikačních autorit (CA), které splňují požadavky na standardní hodnoty fóra CA/Browser. Všechny koncové body Azure TLS/SSL obsahují řetězení certifikátů až do kořenových certifikačních autorit uvedených v tomto článku. Změny koncových bodů Azure začaly přecházet v srpnu 2020 a některé služby dokončily aktualizace v roce 2022. Všechny nově vytvořené koncové body Azure TLS/SSL obsahují aktualizované řetězení certifikátů až do nových kořenových certifikačních autorit.
Tato změna má vliv na všechny služby Azure. Podrobnosti o některých službách jsou uvedené níže:
- Služby Microsoft Entra ID (Microsoft Entra ID) zahájily tento přechod 7. července 2020.
- Nejaktuálnější informace o změnách certifikátů TLS pro služby Azure IoT najdete v tomto blogovém příspěvku o Azure IoT.
- Azure IoT Hub zahájil tento přechod v únoru 2023 s očekávaným dokončením v říjnu 2023.
- Azure IoT Central zahájí tento přechod v červenci 2023.
- Služba Azure IoT Hub Device Provisioning zahájí tento přechod v lednu 2024.
- Azure Cosmos DB zahájil tento přechod v červenci 2022 s očekávaným dokončením v říjnu 2022.
- Podrobnosti o změnách certifikátů TLS služby Azure Storage najdete v tomto blogovém příspěvku o službě Azure Storage.
- Azure Cache for Redis odchází od certifikátů TLS vydaných rootem Baltimore CyberTrust od května 2022, jak je popsáno v tomto článku o službě Azure Cache for Redis
- Služba Azure Instance Metadata Service má v květnu 2022 očekávané dokončení, jak je popsáno v tomto blogovém příspěvku o zásadách správného řízení a správě Azure.
Co se změnilo?
Před změnou se většina certifikátů TLS používaných službami Azure zřetězených do následující kořenové certifikační autority:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Po změně budou certifikáty TLS používané službami Azure zřetězovat až jeden z následujících kořenových certifikačních autorit:
| Běžný název certifikační autority | Kryptografický otisk (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Globální kořenová certifikační autorita DigiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| Kořenová třída D-TRUST 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Ovlivnila se moje aplikace?
Pokud vaše aplikace explicitně určuje seznam přijatelných certifikačních autorit, pravděpodobně to ovlivnilo vaši aplikaci. Tento postup se označuje jako připnutí certifikátu. Další informace o tom, jak zjistit, jestli byly vaše služby ovlivněné a další kroky, najdete v článku technické komunity Microsoftu o změnách protokolu TLS služby Azure Storage.
Tady je několik způsobů, jak zjistit, jestli byla vaše aplikace ovlivněná:
Vyhledejte ve zdrojovém kódu kryptografický otisk, běžný název a další vlastnosti certifikátu některého z certifikačních autorit MICROSOFT IT TLS v úložišti Microsoft PKI. Pokud dojde ke shodě, ovlivní to vaši aplikaci. Pokud chcete tento problém vyřešit, aktualizujte zdrojový kód tak, aby obsahoval nové certifikační autority. Osvědčeným postupem je, že certifikační autority je možné přidat nebo upravit podle krátkého upozornění. Oborové předpisy vyžadují, aby certifikáty certifikační autority byly nahrazeny do sedmi dnů od změny, a proto zákazníci spoléhající na připnutí musí rychle reagovat.
Pokud máte aplikaci, která se integruje s rozhraními Azure API nebo jinými službami Azure a nejste si jisti, jestli používá připnutí certifikátu, obraťte se na dodavatele aplikace.
Různé operační systémy a moduly runtime jazyka, které komunikují se službami Azure, můžou vyžadovat další kroky pro správné sestavení řetězu certifikátů s těmito novými kořeny:
- Linux: Mnoho distribucí vyžaduje přidání certifikačních autorit do certifikátů /etc/ssl/certs. Konkrétní pokyny najdete v dokumentaci k distribuci.
- Java: Ujistěte se, že úložiště klíčů Java obsahuje certifikační autority uvedené výše.
- Windows spuštěné v odpojených prostředích: Systémy spuštěné v odpojených prostředích budou muset mít nové kořeny přidané do úložiště důvěryhodných kořenových certifikačních autorit a zprostředkující certifikáty přidané do úložiště zprostředkujících certifikačních autorit.
- Android: Projděte si dokumentaci k vašemu zařízení a verzi Androidu.
- Jiná hardwarová zařízení, zejména IoT: Obraťte se na výrobce zařízení.
Pokud máte prostředí, ve kterém jsou pravidla brány firewall nastavená tak, aby povolovaly odchozí volání pouze ke stažení konkrétního seznamu odvolaných certifikátů (CRL) nebo umístění pro ověření protokolu OCSP (Online Certificate Status Protocol), budete muset povolit následující adresy URL seznamu CRL a OCSP. Úplný seznam adres URL seznamu CRL a OCSP použitých v Azure najdete v článku podrobnosti o certifikační autoritě Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Další kroky
Pokud máte dotazy, kontaktujte nás prostřednictvím podpory.