تدوير شهادة الجذر لقاعدة بيانات Azure ل MySQL

للحفاظ على معايير الأمان والتوافق الخاصة بنا، نبدأ في تغيير الشهادات الجذرية لقاعدة بيانات Azure ل MySQL Flexible Server بعد 1 سبتمبر 2025.

يتم استبدال شهادة الجذر الحالية DigiCert Global Root CA بشهادتين جديدتين للجذر:

• DigiCert الجذر العالمي G2
• المرجع المصدق الجذر Microsoft RSA 2017

إذا كنت تستخدم أمان طبقة النقل (TLS) مع التحقق من شهادة الجذر، فيجب أن يكون لديك جميع الشهادات الجذر الثلاثة مثبتة خلال فترة الانتقال. بمجرد تغيير جميع الشهادات، يمكنك إزالة شهادة الجذر SHA-1 القديمة DigiCert Global Root CA من المتجر. إذا لم تقم بإضافة الشهادات الجديدة قبل 1 سبتمبر 2025، فستفشل اتصالاتك بقواعد البيانات.

توفر هذه المقالة إرشادات حول كيفية إضافة شهادتي الجذر الجديدتين، وإجابات للأسئلة المتداولة.

Note

إذا كان الاستخدام المستمر ل SHA-1 مانعا وتريد تغيير شهاداتك قبل الإطلاق العام، فاتبع الإرشادات الواردة في هذه المقالة لإنشاء شهادة مرجع مصدق (CA) مجمعة على العميل. ثم افتح طلب دعم لتدوير شهادتك لقاعدة بيانات Azure ل MySQL.

لماذا يجب تحديث شهادة الجذر؟

يمكن لمستخدمي Azure Database for MySQL استخدام الشهادة المعرفة مسبقا فقط للاتصال بمثيلات خادم MySQL الخاصة بهم. يتم توقيع هذه الشهادات من قبل مرجع مصدق جذر. يتم توقيع الشهادة الحالية من قبل DigiCert Global Root CA. يستخدم SHA-1. خوارزمية تجزئة SHA-1 غير آمنة إلى حد كبير، بسبب الثغرات الأمنية المكتشفة. لم يعد متوافقا مع معايير الأمان الخاصة بنا.

نحتاج إلى تدوير الشهادة إلى شهادة موقعة من قبل مرجع مصدق جذر متوافق لمعالجة المشكلة.

كيفية تحديث مخزن الشهادات الجذر على العميل الخاص بك

للتأكد من أن تطبيقاتك يمكنها الاتصال بقاعدة بيانات Azure ل MySQL بعد تدوير الشهادة الجذر، قم بتحديث مخزن الشهادات الجذر على عميلك. قم بتحديث مخزن الشهادات الجذر إذا كنت تستخدم طبقة المقابس الآمنة/طبقة النقل الآمنة مع التحقق من الشهادة الجذرية.

ترشدك الخطوات التالية خلال عملية تحديث مخزن الشهادات الجذر على العميل الخاص بك:

1. قم بتنزيل الشهادات الجذر الثلاث. إذا قمت بتثبيت شهادة DigiCert Global Root CA ، فيمكنك تخطي التنزيل الأول:

2. قم بتنزيل شهادة DigiCert Global Root CA.

3. قم بتنزيل شهادة DigiCert Global Root G2.

4. قم بتنزيل شهادة المرجع المصدق الجذر ل Microsoft RSA 2017.

5. أضف الشهادات التي تم تنزيلها إلى مخزن شهادات العميل. تختلف العملية حسب نوع العميل.

قم بتحديث عميل Java الخاص بك

اتبع هذه الخطوات لتحديث شهادات عميل Java لتدوير الشهادة الجذر.

إنشاء مخزن شهادات جذر موثوق به جديد

بالنسبة لمستخدمي Java، قم بتشغيل هذه الأوامر لإنشاء مخزن شهادات جذر موثوق به جديد:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

ثم استبدل ملف keystore الأصلي بالملف الذي تم إنشاؤه حديثا:

• System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
• System.setProperty("javax.net.ssl.trustStorePassword","password");

تحديث مخزن شهادات جذر موثوق به موجود

بالنسبة لمستخدمي Java، قم بتشغيل هذه الأوامر لإضافة شهادات الجذر الموثوق بها الجديدة إلى مخزن شهادات جذر موثوق به موجود:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

إذا قمت بتحديث مخزن مفاتيح حالي، فلن تحتاج إلى تغيير الخصائص javax.net.ssl.trustStore و javax.net.ssl.trustStorePassword .

تحديث عميل .NET الخاص بك

اتبع هذه الخطوات لتحديث شهادات عميل .NET لتدوير الشهادة الجذر.

.NET على Windows

بالنسبة لمستخدمي .NET على Windows، تأكد من وجود DigiCert Global Root CA و DigiCert Global Root G2 و Microsoft RSA Root Certificate Authority 2017 في مخزن شهادات Windows ضمن المراجع المصدقة الجذر الموثوق بها. إذا لم تكن هناك أي شهادة، فاستوردها.

.NET على Linux

بالنسبة لمستخدمي .NET على Linux الذين يستخدمون SSL_CERT_DIR، تأكد من وجود DigiCertGlobalRootCA.crt.pem، DigiCertGlobalRootG2.crt.pemو Microsoft RSA Root Certificate Authority 2017.crt.pem ، وموجودة في الدليل المشار إليه ب SSL_CERT_DIR. إذا لم تكن هناك أي شهادة، قم بإنشاء ملف الشهادة المفقود.

تحويل الشهادة Microsoft RSA Root Certificate Authority 2017.crt إلى تنسيق PEM عن طريق تشغيل الأمر التالي:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

عملاء آخرون

بالنسبة للمستخدمين الآخرين الذين يستخدمون عملاء آخرين، تحتاج إلى إنشاء ملف شهادة مدمج يحتوي على جميع الشهادات الجذرية الثلاثة.

عملاء آخرون مثل:

• منضدة عمل MySQL
• C أو C++‎
• انتقال
• Python
• ياقوت
• PHP
• Node.js
• بيرل
• سويفت

الخطوات

1. قم بإنشاء ملف نصي جديد وحفظه ك combined-ca-certificates.pem
2. انسخ محتويات ملفات الشهادات الثلاثة والصقها في هذا الملف الفردي بالتنسيق التالي:

-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

النسخ المتماثل للبيانات MySQL

بالنسبة للنسخ المتماثل للبيانات حيث يتم استضافة كل من الأساسي والنسخة المتماثلة على Azure، يمكنك دمج ملفات شهادة المرجع المصدق بهذا التنسيق:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

اتصل mysql.az_replication_change_master على النحو التالي:

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

أعد تشغيل خادم النسخة المتماثلة الخاص بك.

المحتوى ذو الصلة

• FAQ
• الاتصال بقاعدة بيانات Azure ل MySQL باستخدام اتصالات مشفرة