先给您明确结论：如果您的IIS应用仅对外提供服务（使用ssl2buy颁发的证书），且没有针对Azure服务做证书固定操作，这次微软的Azure根CA更新不会对您的应用造成影响。具体拆解如下：

• 微软本次变更的核心是更新Azure自有服务（比如Azure App Service、Azure Storage、Azure SQL等）对外使用的TLS证书根CA，影响的是「您的应用作为客户端调用Azure服务」的场景——只有当您的应用配置了证书固定（即明确指定只信任旧版Azure根CA）时，才会出现连接失败的问题。
• 您的IIS应用使用的ssl2buy证书，是自身服务对外提供的身份凭证，和Azure服务的证书体系完全独立。只要访问您IIS应用的客户端（用户浏览器、其他对接系统）信任ssl2buy的根CA，就能正常建立TLS连接，和Azure的根CA更新没有关联。

需额外留意的特殊场景 #

如果您的IIS应用本身需要调用Azure服务（比如从IIS内访问Azure Blob存储、Azure SQL数据库等），请检查：

• 应用是否配置了证书固定（Certificate Pinning）：如果明确指定只接受旧版Azure根CA颁发的证书，您需要更新配置，将新的Azure根CA加入信任列表；
• 如果没有做证书固定，系统默认的根CA信任商店通常会包含微软新的根CA，这种情况下也不会有任何影响。

内容的提问来源于stack exchange，提问作者Mukesh