Microsoft Entra: Wechsel der Zertifikate – einige Admins müssen nacharbeiten

Der Identitätsverwaltungs- und Zugriffssteuerungs-Dienst Entra von Microsoft (Identity and Access Management, IAM) setzt bislang auf Zertifikate basierend auf der DigiCert Global Root G1. Nun kündigt der Hersteller an, am 7. Januar 2026 auf neue Zertifikate basierend auf der DigiCert Global Root G2 für den Entra-Dienst zu migrieren. Admins müssen unter Umständen aktiv werden, damit dann keine Authentifizierungsfehler auftreten.

Das hat Microsoft jetzt im Microsoft-365-Message-Center angekündigt (öffentlich zugreifbare Kopie bei merill.net). Ab dem 7. Januar 2026 will Microsoft die DigiCert-Zertifikate von der G1-Root-CA zur G2-Root-CA migrieren, schreibt das Unternehmen dort. Clients, die mit fest gepinnter DigiCert-G1-Root operieren oder der DigiCert-G2-Root nicht vertrauen, könnten in der Folge Authentifizierungsfehler erzeugen.

Die Zertifizierungsstellen (Certificate Authorities, CAs) stellen digitale Zertifikate aus, auf denen das Vertrauen für gesicherte Kommunikation basiert, erklärt Microsoft. Dabei stellt die Root-CA die höchste Ebene in der Vertrauenskette der Zertifikate dar. Derzeit nutzt Microsoft DigiCert Global Root G1 als Root-CA für die Entra-Dienste. Die DigiCert Global Root G2 ist jedoch eine neuere Root-CA, auf die Microsoft für verbesserte Sicherheit und Compliance wechselt. Wenn die genutzten Systeme der G2-Root nicht vertrauen, schlagen Authentifizierungen mit und sichere Verbindungen zu Microsoft-Entra-Diensten fehl.

Für Admins liefert Microsoft zudem eine Liste der betroffenen Domains mit:

login.microsoftonline.comlogin.live.comlogin.windows.netautologon.microsoftazuread-sso.comgraph.windows.net

Microsoft empfiehlt IT-Verantwortlichen, alle Root- und untergeordnete CAs aus der Azure Certificate Authority als vertrauenswürdig in ihrer IT-Umgebung zu klassifizieren. Insbesondere gilt es sicherzustellen, dass die Systeme der „DigiCert Global Root G2“-Wurzel und untergeordneten Zertifikatsstellen vertrauen. Admins sollten zudem jedwedes Zertifikat-Pinning des „DigiCert Global Root CA“-Root-Zertifikats entfernen. Eine Anleitung zum Zertifikat-Pinning soll dabei helfen.

Ende 2023 hatte Microsoft Zertifikate für Teams Phone ausgewechselt. Trotz Ankündigung im Jahr zuvor waren Admins nicht auf den Wechsel vorbereitet – ein erster Test vorab von Microsoft schlug deshalb fehl. IT-Verantwortliche sollten daher nicht zögern, aktiv zu werden, um sich nicht potenziell aus ihrer IT auszusperren.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo