NSGサービスタグを利用してルート証明書の更新を許可できますか?

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

いいえ。

 

許可できません。Azure のNSGにて、インターネット向け通信をブロックしながら、Windows Updateの通信のみを許可する、というような構成は比較的よく検討・実装されるものかと思います。
Windows UpdateをNSGで許可する方法
などの構成です。NSGのサービスタグ「AzureUpdateDelivery」「AzureFrontDoor.FirstParty」にてWindows Updateが許可可能で、よく利用されるかと思います。

これらのサービスタグで、Windows Updateが許可される為、VM上に取り込まれるルート証明書も、この設定だけで自動更新されるのでは?と思っていらっしゃいませんでしょうか?(記載している私は思っていました。。。)Windows Update許可のサービスタグだけでは、ルート証明書の更新は実施されません。

ルート証明書の更新については以下に非常にわかりやすく記載されています。
ルート証明書更新プログラムの仕組みについて
こちらに記載のとおり、ルート証明書の更新は「ctldl.windowsupdate.com」というサイトにアクセスできるかどうかによって制御されます。このサイトの名前の中にwindowsupdateと記載があるので、なんとなくNSGサービスタグによってルート証明書の自動更新がされるような気がしてくるのですが、そのようなことはありません。「AzureUpdateDelivery」「AzureFrontDoor.FirstParty」でWindowsUpdateが許可されていても、ルート証明書の更新は実施されません。Windows Updateが実施されても、ルート証明書の更新は実施されません(※)

インターネット向け通信をブロックしている環境で、ルート証明書を自動更新したい場合、NSG制御以外の方法が別途必要となります。

 

※ネット上ではWindows Updateでルート証明書も更新される、という記事も見かけるのですが、基本は更新されないようです。

いいね (この記事が参考になった人の数:2)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください