Azure TLS sertifika değişiklikleri
Önemli
Bu makale TLS sertifika değişikliğiyle eşzamanlı olarak yayımlandı ve güncelleştirilmiyor. CA'lar hakkında güncel bilgiler için bkz . Azure Sertifika Yetkilisi ayrıntıları.
Microsoft, CA/Browser Forumu Temel Gereksinimleri'ne uyan Kök Sertifika Yetkilileri (CA) kümesindeki TLS sertifikalarını kullanır. Tüm Azure TLS/SSL uç noktaları, bu makalede sağlanan Kök CA'lara kadar zincirleme sertifikalar içerir. Azure uç noktalarındaki değişiklikler Ağustos 2020'de geçiş yapmaya başladı ve bazı hizmetler güncelleştirmelerini 2022'de tamamlar. Yeni oluşturulan tüm Azure TLS/SSL uç noktaları, yeni Kök CA'lara zincirleme olarak güncelleştirilmiş sertifikalar içerir.
Tüm Azure hizmetleri bu değişiklikden etkilenir. Bazı hizmetlerin ayrıntıları aşağıda listelenmiştir:
- Microsoft Entra Id (Microsoft Entra ID) hizmetleri bu geçişe 7 Temmuz 2020'de başladı.
- Azure IoT hizmetlerinin TLS sertifika değişiklikleri hakkında en güncel bilgiler için bu Azure IoT blog gönderisine bakın.
- Azure IoT Hub bu geçişe Şubat 2023'te başladı ve Ekim 2023'te tamamlanması bekleniyor.
- Azure IoT Central bu geçişe Temmuz 2023'te başlayacaktır.
- Azure IoT Hub Cihaz Sağlama Hizmeti bu geçişe Ocak 2024'te başlayacaktır.
- Azure Cosmos DB bu geçişe Temmuz 2022'de başladı ve Ekim 2022'de tamamlanması bekleniyor.
- Azure Depolama TLS sertifika değişiklikleriyle ilgili ayrıntılar bu Azure Depolama blog gönderisinde bulunabilir.
- Redis için Azure Cache, bu Redis için Azure Cache makalede açıklandığı gibi Mayıs 2022'den itibaren Baltimore CyberTrust Root tarafından verilen TLS sertifikalarından uzaklaşıyor
- Bu Azure İdaresi ve Yönetimi blog gönderisinde açıklandığı gibi Azure Örnek Meta Veri Hizmeti'nin Mayıs 2022'de tamamlanması bekleniyor.
Ne değişti?
Değişiklik öncesinde, Azure hizmetleri tarafından kullanılan TLS sertifikalarının çoğu aşağıdaki Kök CA'ya zincirlenmiştir:
| CA'nın ortak adı | Parmak izi (SHA1) |
|---|---|
| Baltimore CyberTrust Kökü | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Değişiklik sonrasında, Azure hizmetleri tarafından kullanılan TLS sertifikaları aşağıdaki Kök CA'lardan birine zincirlenir:
| CA'nın ortak adı | Parmak izi (SHA1) |
|---|---|
| DigiCert Genel Kök G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Genel Kök CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Kökü | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Kök Sınıfı 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Kök Sertifika Yetkilisi 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Kök Sertifika Yetkilisi 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Uygulamam etkilendi mi?
Uygulamanız kabul edilebilir CA'ların listesini açıkça belirtiyorsa, uygulamanız büyük olasılıkla etkilenmiştir. Bu uygulama sertifika sabitleme olarak bilinir. Hizmetlerinizin etkilenip etkilenmediğini belirleme ve sonraki adımlar hakkında daha fazla bilgi için Azure Depolama TLS değişiklikleri hakkındaki Microsoft Tech Community makalesini gözden geçirin.
Uygulamanızın etkilenip etkilenmediğini algılamanın bazı yolları şunlardır:
Kaynak kodunuzda Microsoft PKI deposundaki Microsoft BT TLS CA'larından herhangi birinin parmak izi, Ortak Ad ve diğer sertifika özelliklerini arayın. Eşleşme varsa uygulamanız etkilenir. Bu sorunu çözmek için yeni CA'ları içeren kaynak kodunu güncelleştirin. En iyi uygulama olarak, KıSA sürede CA'ların eklendiğinden veya düzenlenebildiğine emin olun. Sektör düzenlemeleri, CA sertifikalarının değişikliği izleyen yedi gün içinde değiştirilmesini gerektirir ve bu nedenle sabitlemeye güvenen müşterilerin hızlı tepki vermeleri gerekir.
Azure API'leri veya diğer Azure hizmetleriyle tümleşen bir uygulamanız varsa ve sertifika sabitleme kullanıp kullanmaydığınızdan emin değilseniz uygulama satıcısına başvurun.
Azure hizmetleriyle iletişim kuran farklı işletim sistemleri ve dil çalışma zamanları, bu yeni köklerle sertifika zincirini doğru şekilde oluşturmak için daha fazla adım gerektirebilir:
- Linux: Birçok dağıtım için /etc/ssl/certs öğesine CA'lar eklemeniz gerekir. Belirli yönergeler için dağıtımın belgelerine bakın.
- Java: Java anahtar deposunun yukarıda listelenen CA'ları içerdiğinden emin olun.
- Bağlantısız ortamlarda çalışan Windows: Bağlantısız ortamlarda çalışan sistemlerin yeni kökleri Güvenilen Kök Sertifika Yetkilileri deposuna ve ara sertifikaların Ara Sertifika Yetkilileri deposuna eklenmesi gerekir.
- Android: Cihazınızın ve Android sürümünün belgelerine bakın.
- Diğer donanım cihazları, özellikle IoT: Cihaz üreticisine başvurun.
Güvenlik duvarı kurallarının yalnızca belirli Sertifika İptal Listesi (CRL) indirme ve/veya Çevrimiçi Sertifika Durum Protokolü (OCSP) doğrulama konumlarına giden çağrılara izin verecek şekilde ayarlandığı bir ortamınız varsa, aşağıdaki CRL ve OCSP URL'lerine izin vermeniz gerekir. Azure'da kullanılan CRL ve OCSP URL'lerinin tam listesi için Azure CA ayrıntıları makalesine bakın.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Sonraki adımlar
Sorularınız varsa destek aracılığıyla bizimle iletişime geçin.