Připojení SSL/TLS ve službě Azure Database for MySQL
PLATÍ PRO:
Jednoúčelový server Azure Database for MySQL
Důležité
Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?
Azure Database for MySQL podporuje připojení databázového serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Díky vynucování připojení SSL mezi databázovým serverem a klientskými aplikacemi se šifruje datový proud mezi serverem a vaší aplikací, což pomáhá chránit před napadením útočníky, kteří se vydávají za prostředníky.
Poznámka:
Aktualizace hodnoty parametru require_secure_transport serveru nemá vliv na chování služby MySQL. K zabezpečení připojení k databázi použijte funkce vynucení PROTOKOLU SSL a TLS popsané v tomto článku.
Poznámka:
Na základě zpětné vazby od zákazníků jsme rozšířili vyřazení kořenového certifikátu pro naši stávající kořenovou certifikační autoritu Baltimore do 15. února 2021 (15. 2. 2021).
Důležité
Kořenový certifikát SSL je nastavený na vypršení platnosti od 15. února 2021 (15. 2. 2021). Aktualizujte aplikaci, aby používala nový certifikát. Další informace najdete v tématu plánované aktualizace certifikátů.
Výchozí nastavení SSL
Ve výchozím nastavení by měla být databázová služba nakonfigurovaná tak, aby při připojování k MySQL vyžadovala připojení SSL. Doporučujeme zabránit zakázání možnosti SSL, kdykoli je to možné.
Při zřizování nového serveru Azure Database for MySQL prostřednictvím webu Azure Portal a rozhraní příkazového řádku je ve výchozím nastavení povolené vynucení připojení SSL.
Připojení ionové řetězce pro různé programovací jazyky se zobrazují na webu Azure Portal. Tyto připojovací řetězec zahrnují požadované parametry SSL pro připojení k databázi. Na webu Azure Portal vyberte svůj server. Pod nadpisem Nastavení vyberte řetězce Připojení ion. Parametr SSL se liší podle konektoru, například "ssl=true" nebo "sslmode=require" nebo "sslmode=required" a dalších variant.
V některých případech aplikace k zabezpečenému připojení vyžadují místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority (CA). Zákazníci v současné době můžou k připojení k serveru Azure Database for MySQL, který se nachází na adrese https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem, použít pouze předdefinovaný certifikát.
Podobně následující odkazy odkazují na certifikáty pro servery v suverénních cloudech: Azure Government, Microsoft Azure provozované společností 21Vianet a Azure Germany.
Informace o povolení nebo zakázání připojení SSL při vývoji aplikace najdete v tématu Postup konfigurace protokolu SSL.
Vynucení protokolu TLS ve službě Azure Database for MySQL
Azure Database for MySQL podporuje šifrování pro klienty připojující se k databázovému serveru pomocí protokolu TLS (Transport Layer Security). TLS je standardní oborový protokol, který zajišťuje zabezpečená síťová připojení mezi databázovým serverem a klientskými aplikacemi, což umožňuje dodržovat požadavky na dodržování předpisů.
Nastavení protokolu TLS
Azure Database for MySQL poskytuje možnost vynutit verzi protokolu TLS pro připojení klientů. Pokud chcete vynutit verzi protokolu TLS, použijte nastavení minimální verze protokolu TLS. Pro toto nastavení možností jsou povoleny následující hodnoty:
| Minimální nastavení protokolu TLS | Podporovaná verze protokolu TLS klienta |
|---|---|
| TLSEnforcementDisabled (výchozí) | Nevyžaduje se žádný protokol TLS. |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 a vyšší |
| TLS1_1 | TLS 1.1, TLS 1.2 a vyšší |
| TLS1_2 | TLS verze 1.2 a vyšší |
Například nastavení minimální verze nastavení protokolu TLS na TLS 1.0 znamená, že váš server umožňuje připojení z klientů pomocí protokolu TLS 1.0, 1.1 a 1.2 nebo novější. Pokud to nastavíte na verzi 1.2, znamená to, že povolíte připojení jenom z klientů používajících protokol TLS 1.2 nebo novější a všechna připojení s protokolem TLS 1.0 a TLS 1.1 budou odmítnuta.
Poznámka:
Azure Database for MySQL ve výchozím nastavení nevynucuje minimální verzi protokolu TLS (nastavení TLSEnforcementDisabled).
Jakmile vynutíte minimální verzi protokolu TLS, nebude možné později zakázat vynucení minimální verze.
Minimální nastavení verze protokolu TLS nevyžaduje žádné restartování serveru, pokud je server online. Informace o nastavení protokolu TLS pro službu Azure Database for MySQL najdete v tématu Postup konfigurace nastavení protokolu TLS.
Podpora šifrování jednoúčelovým serverem Azure Database for MySQL
V rámci komunikace SSL/TLS jsou šifrovací sady ověřeny a podporují pouze šifrovací obleky, které mohou komunikovat s databázovým serverem. Ověřování šifrovací sady je řízeno ve vrstvě brány, nikoli explicitně na samotném uzlu. Pokud šifrovací sady neodpovídají některé z níže uvedených sad, příchozí připojení klientů budou odmítnuta.
Podporovaná sada šifer
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Další kroky
- knihovny Připojení ion pro Azure Database for MySQL
- Informace o konfiguraci PROTOKOLU SSL
- Informace o konfiguraci protokolu TLS