Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Platforma Microsoft Azure oferuje kompleksowe zarządzane rozwiązanie TLS zintegrowane z kilkoma usługami firmy Microsoft. Ta funkcja obejmuje zarządzane certyfikaty serwera TLS dla domen vanity klienta udostępnianych przez firmę DigiCert.
W wyniku zmieniających się branżowych standardów zgodności, wymagań dotyczących zabezpieczeń i cyklu życia infrastruktury kluczy publicznych ta oferta zostanie poddana kilku ważnym aktualizacjom w 2025 i 2026 r., które będą mieć wpływ na klientów korzystających z tej funkcji.
Aktualizacje infrastruktury kluczy publicznych
Począwszy od końca 2025 r., platforma Azure zaczęła aktualizować zarządzane rozwiązanie TLS, aby dostosować je do nadchodzących wymagań przeglądarki. Te zmiany wpływają na wszystkie zarządzane certyfikaty TLS wystawione dla następujących usług platformy Azure:
- Azure Front Door (AFD) i CDN Classic
- Jednostka SKU Usługi Azure Front Door w warstwie Standardowa/Premium
- Azure API Management
- Azure App Service
- Azure Container Apps
- Azure Static Web Apps
Kluczowe zmiany
Ta aktualizacja obejmuje dwie kluczowe zmiany:
Nowe główne i podrzędne urzędy certyfikacji::
- Wszystkie zarządzane certyfikaty TLS zostaną przeniesione z urzędów certyfikacji (CA) w ramach głównego urzędu certyfikacji DigiCert Global Root CA do urzędów certyfikacji w ramach głównego urzędu certyfikacji DigiCert Global Root G2 i głównego urzędu certyfikacji DigiCert Global Root G3. To przejście zapewnia zgodność z wymaganiami zaufanych programów głównych przeglądarki.
Usuwanie EKU uwierzytelniania klienta
- Te nowe urzędy certyfikacji nie będą obsługiwać uwierzytelniania klienta zgodnie z wymaganiami głównego programu zaufania przeglądarki. Wszystkie zarządzane certyfikaty TLS wydane przez nowe urzędy certyfikacji będą obejmować tylko rozszerzone użycie klucza (EKU) do uwierzytelniania serwera.
Potencjalny wpływ na klienta
Aby przygotować się do zmiany, ważne jest, aby wiedzieć, jak zmiany mogą potencjalnie wpłynąć na klientów.
Przypinanie certyfikatu
- W przypadku przypinania certyfikatów lub kluczy publicznych, należy zaktualizować zestawy przypięć, aby uwzględnić nowe certyfikaty główne (root) i pośrednie.
- Statyczne przypinanie jest zdecydowanie odradzane z powodu ryzyka operacyjnego.
Uwierzytelnianie klienta
- Jeśli aplikacja korzysta z EKU uwierzytelniania klienta w certyfikatach publicznych, należy zaktualizować konfigurację, aby używać certyfikatów z innych urzędów certyfikacji.
- Zarządzane certyfikaty TLS będą obsługiwać tylko EKU do uwierzytelniania serwera.
Walidacja domeny
Począwszy od końca 2025 r., firma DigiCert przechodzi do nowej platformy weryfikacji kontroli domeny oprogramowania open source (OSS) mającej na celu zwiększenie przejrzystości i odpowiedzialności w procesach walidacji domeny. Firma DigiCert nie będzie już obsługiwać starszego przepływu pracy dcV delegowania CNAME na potrzeby weryfikacji kontroli domeny w określonych usługach platformy Azure.
W związku z tym te usługi platformy Azure będą wprowadzać rozszerzony proces weryfikacji kontroli domeny, mający na celu znaczne przyspieszenie walidacji domeny i rozwiązywanie kluczowych luk w zabezpieczeniach środowiska użytkownika.
Ta zmiana nie ma wpływu na standardowy proces CNAME DCV dla klientów Firmy DigiCert, gdzie walidacja używa wartości losowej w rekordzie CNAME. Tylko ten jeden przepływ pracy do weryfikacji wcześniej używanej przez firmę Microsoft jest wycofywany.
Ostrzeżenie
Klienci, którzy nie zaktualizowali swoich konfiguracji w celu zachowania zgodności z zarządzanymi zmianami protokołu TLS, będą mieli awarię usługi, jeśli nie zaktualizują konfiguracji.
- Po wygaśnięciu bieżącego certyfikatu gwarantowana jest awaria.
- Awaria może wystąpić, jeśli certyfikat zostanie odwołany.
W przypadku unieważnienia certyfikaty muszą zostać unieważnione w ciągu 24 godzin, zgodnie z Podstawowymi Wymaganiami Forum CA/Browser, pozostawiając bardzo mało czasu na odpowiedź. Klienci powinni aktualizować konfiguracje w trybie pilnym, aby uniknąć zakłóceń.
Najczęściej zadawane pytania
.: Czy obsługa domen niestandardowych jest wycofywana?
Nie. Funkcja jest bardzo obsługiwana i w rzeczywistości otrzymuje kilka kluczowych aktualizacji, które poprawiają ogólne środowisko użytkownika.
Uwaga / Notatka
Klasyczne SKU AFD i CDN, które są na drodze do wycofania, wycofują obsługę dodawania nowych domen niestandardowych. Aby uzyskać więcej informacji, zobacz Azure Front Door (wersja klasyczna) i Azure CDN from Microsoft Classic SKU ending CNAME domain validation and new domain/profile creations by 15 sierpnia 2025 r. Zaleca się klientom używania zarządzanych certyfikatów TLS z jednostkami SKU AFD Standard i Premium dla nowych domen niestandardowych.
.: Co to jest weryfikacja kontroli domeny?
Weryfikacja kontroli domeny (DCV) jest krytycznym procesem używanym do sprawdzania, czy jednostka żądającą certyfikatu TLS/SSL ma legalną kontrolę nad domenami wymienionymi w certyfikacie.
.: Czy firma DigiCert wycofała walidację kontroli domeny CNAME?
Nie. Wycofano tylko tę konkretną metodę weryfikacji CNAME unikatową dla usług platformy Azure. Nie ma to wpływu na metodę CNAME DCV używaną przez klientów firmy DigiCert, taką jak ta opisana dla certyfikatów DigiCert OV/EV i certyfikatów DV .
Ta zmiana ma wpływ tylko na platformę Azure.
Dlaczego firma Microsoft przeprowadza migrację do rootów G2 i G3 firmy DigiCert?
Ta zmiana jest zgodna ze standardami branżowymi i nadchodzącymi wymaganiami przeglądarki. 15 kwietnia 2026 r. Mozilla i Chrome przestaną ufać DigiCert Global Root CA. Aby zachować zaufanie, wszystkie zarządzane certyfikaty TLS zostaną przeniesione do głównego zaufanego certyfikatu DigiCert Global Root G2 i głównego zaufanego certyfikatu DigiCert Global Root G3 przed tą datą. Aby uzyskać więcej informacji, zobacz DigiCert root and intermediate CA certificate updates 2023 (Aktualizacje certyfikatu głównego i pośredniego urzędu certyfikacji firmy DigiCert 2023).
Dlaczego EKU uwierzytelniania klienta jest usuwane?
Jest to zmiana w całej branży wynikająca z programu Chrome Trusted Root. Przeglądarka Chrome ogranicza certyfikaty TLS do uwierzytelniania serwera w celu zwiększenia bezpieczeństwa i zgodności. Aby uzyskać więcej informacji, zobacz Wycofywanie uwierzytelniania klienta EKU z publicznych certyfikatów TLS DigiCert.