Поделиться через


Изменения TLS-сертификатов Azure

Внимание

Эта статья была опубликована параллельно с изменением сертификата TLS, изменения в нее не вносятся. Актуальные сведения о центрах сертификации см. в разделе Сведения о центрах сертификации Azure.

Корпорация Майкрософт использует сертификаты TLS из набора корневых центров сертификации (ЦС), которые соответствуют базовым требованиям для центра сертификации и браузера. Все конечные точки TLS/SSL Azure содержат сертификаты, связанные с корневыми ЦС, которые указаны в этой статье. Реализация перехода для конечных точек Azure началась в августе 2020 г.; для некоторых служб обновление завершается в 2022 году. Все новые конечные точки TLS/SSL Azure содержат обновленные сертификаты, связанные с новыми корневыми ЦС.

Это изменение влияет на все службы Azure. Ниже приведены сведения о некоторых службах.

Что изменилось?

До реализации соответствующих изменений большинство TLS-сертификатов, используемых службами Azure, были связаны со следующими корневыми ЦС:

Общее имя ЦС Отпечаток (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

После изменения TLS-сертификаты, используемые службами Azure, будут связаны с одним из следующих корневых ЦС:

Общее имя ЦС Отпечаток (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Затронуто ли мое приложение?

Если в приложении явным образом указывается список допустимых ЦС, скорее всего, изменение его затронуло. Такой подход называется привязкой сертификатов. Дополнительные сведения о том, как оценить степень влияния на свои службы и определить дальнейшие действия, см. в статье сообщества Microsoft Tech Community об изменениях TLS для службы хранилища Azure.

Чтобы определить, повлияло ли изменение на ваше приложение, воспользуйтесь следующими методами:

  • Выполните в исходном коде поиск отпечатка, общего имени и других свойств сертификатов для всех центров сертификации Microsoft IT TLS CA, список которых можно найти в репозитории PKI Майкрософт. Наличие совпадений при поиске будет означать, что изменение затронет ваше приложение. Чтобы решить эту проблему, обновите исходный код, включив данные о новых ЦС. Рекомендуем обеспечить возможность быстрого добавления или изменения данных о ЦС. Отраслевые нормы требуют замены сертификатов ЦС в течение семи дней с момента изменения, поэтому клиентам, которые пользуются привязкой сертификатов, необходимо сделать это как можно скорее.

  • Если ваше приложение интегрируется с API-интерфейсами Azure или другими службами Azure и вы не уверены, использует ли оно привязку сертификатов, обратитесь к поставщику приложения.

  • Для разных операционных систем и сред выполнения на разных языках, которые обмениваются данными со службами Azure, может потребоваться выполнить дополнительные действия, чтобы правильно построить цепочку сертификатов с такими новыми корнями:

    • Linux: многие дистрибутивы требуют добавления ЦС в /etc/ssl/certs. Дополнительные инструкции см. в документации по конкретному дистрибутиву.
    • Java: убедитесь, что хранилище ключей Java содержит перечисленные выше ЦС.
    • Windows, работающих в отключенных средах: системам, работающим в отключенных средах, потребуется добавить новые корни в хранилище доверенных корневых центров сертификации и промежуточные элементы, добавленные в хранилище промежуточных центров сертификации.
    • Android: ознакомьтесь с документацией по устройству и версии Android.
    • Другие аппаратные устройства, особенно IoT: обратитесь к производителю устройств.
  • Если у вас есть среда, в которой установлены правила брандмауэра, чтобы разрешить исходящие вызовы только для определенных списков отзыва сертификатов (CRL) и (или) расположений проверки состояния онлайн-сертификатов (OCSP), необходимо разрешить следующие URL-адреса CRL и OCSP. Полный список URL-адресов CRL и OCSP, используемых в Azure, см. в статье сведений о ЦС Azure.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Следующие шаги

Если у вас есть вопросы, свяжитесь с нашей службой поддержки.