みなさんごきげんよう。Microsoft App Innovation チームです。今回は 3 月 21 日に投稿された Microsoft Developer Blogs より、「Upcoming changes to Azure Cosmos DB TLS certificates」の抄訳をお届けします。
2022 年 7 月から、Azure Cosmos DB TLS サーバー証明書のルートと認証局( CA )が新しくなります。
Azure Cosmos DB サービスのルート証明チェーンが DigiCert Global Root G2 になり、TLS サーバー証明書が新しい ICA によって発行されます。
ほとんどの Azure Cosmos DB のお客様は影響を受けないと予想されますが、受け入れ可能な CA のリストを明示的に指定すると、アプリケーションに影響が及ぶ可能性があります(「証明書ピンニング」と呼ばれる方法)。この変更は、Azure のパブリック クラウドと Azure Government に限定されています。Azure ソブリンクラウド製品に変更はありません。
クライアントアプリケーションのいずれかがルート CA Baltimore Cyber Trust Root 、または以下にリストされている現在の中間 CA に固定されている場合は、Azure Cosmos DB アカウントへの接続の中断を防ぐためにアクションを実行する必要があります。
クライアントアプリケーションが影響を受けているかどうかの確認方法
ソースコードで、ルート CA または中間 CA のサムプリント、共通名、およびその他の証明書のプロパティを検索します。
- ルート CA:Baltimore Cyber Trust ルート CA(サムプリント:d4de20d05e66fc53fe1a50882c78db2852cae474)
- 中間 CA:Microsoft RSA TLS CA 01(サムプリント:703d7a8f0ebf55aaa59f98eaf4a206004eb2516a)
- 中間 CA:Microsoft RSA TLS CA 02(サムプリント:b0c2d2d13cdd56cdaa6ab6e2c04440be4a429c75)
これらが一致する場合、アプリケーションが影響を受けます。
必要なアクション
1.中断せずに変更作業を行うためには、Baltimore に加えて、クライアントアプリケーションまたはデバイスが DigiCert Global Root G2 CA(英語)(サムプリント:df3c24f9bfd666761b268073fe06d1cc8d4f82a4)を信頼することをお勧めします。中間証明書は、ルート CA よりも頻繁に変更されることが予想されます。証明書のピンニングは、ロールの頻度が少ない場合にのみ行うようにしましょう。
2.混乱を防止として、下記ルートの追加もお勧めです。
- DigiCert Global Root G3 (英語) (サムプリント: 7e04de896a3e666d00e687d33ffad93be83d349e)
- Microsoft RSA Root Certificate Authority 2017(サムプリント: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)
- Microsoft ECC Root Certificate Authority 2017(サムプリント: 999a64c37ff47d9fab95f14769891460eec4c3c5)
もっと詳しく知る
この変更は、すべての Azure サービスに影響します。特定のサービスの詳細については、ドキュメントをお読みください。