Připojení SSL/TLS ve službě Azure Database for MariaDB
Důležité
Azure Database for MariaDB je na cestě vyřazení. Důrazně doporučujeme migrovat do služby Azure Database for MySQL. Další informace o migraci na Azure Database for MySQL najdete v tématu Co se děje se službou Azure Database for MariaDB?.
Azure Database for MariaDB podporuje připojení databázového serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Díky vynucování připojení SSL mezi databázovým serverem a klientskými aplikacemi se šifruje datový proud mezi serverem a vaší aplikací, což pomáhá chránit před napadením útočníky, kteří se vydávají za prostředníky.
Poznámka:
Na základě zpětné vazby od zákazníků jsme rozšířili vyřazení kořenového certifikátu pro naši stávající kořenovou certifikační autoritu Baltimore do 15. února 2021 (15. 2. 2021).
Důležité
Kořenový certifikát SSL je nastavený na vypršení platnosti od 15. února 2021 (15. 2. 2021). Aktualizujte aplikaci, aby používala nový certifikát. Další informace najdete v tématu plánované aktualizace certifikátů.
Výchozí nastavení
Ve výchozím nastavení by měla být databázová služba nakonfigurovaná tak, aby při připojování k MariaDB vyžadovala připojení SSL. Doporučujeme zabránit zakázání možnosti SSL, kdykoli je to možné.
Při zřizování nového serveru Azure Database for MariaDB prostřednictvím webu Azure Portal a rozhraní příkazového řádku je ve výchozím nastavení povolené vynucení připojení SSL.
V některých případech aplikace k zabezpečenému připojení vyžadují místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority (CA). Zákazníci v současné době můžou k připojení k serveru Azure Database for MariaDB, který se nachází na adrese https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem, použít pouze předdefinovaný certifikát.
Podobně následující odkazy odkazují na certifikáty pro servery v suverénních cloudech: Azure Government, Microsoft Azure provozované společností 21Vianet a Azure Germany.
Připojení ionové řetězce pro různé programovací jazyky se zobrazují na webu Azure Portal. Tyto připojovací řetězec zahrnují požadované parametry SSL pro připojení k databázi. Na webu Azure Portal vyberte svůj server. Pod nadpisem Nastavení vyberte řetězce Připojení ion. Parametr SSL se liší podle konektoru, například "ssl=true" nebo "sslmode=require" nebo "sslmode=required" a dalších variant.
Informace o povolení nebo zakázání připojení SSL při vývoji aplikace najdete v tématu Postup konfigurace protokolu SSL.
Vynucení protokolu TLS ve službě Azure Database for MariaDB
Azure Database for MariaDB podporuje šifrování pro klienty připojující se k databázovému serveru pomocí protokolu TLS (Transport Layer Security). TLS je standardní oborový protokol, který zajišťuje zabezpečená síťová připojení mezi databázovým serverem a klientskými aplikacemi, což umožňuje dodržovat požadavky na dodržování předpisů.
Nastavení protokolu TLS
Azure Database for MariaDB umožňuje vynucovat verzi protokolu TLS pro připojení klientů. Pokud chcete vynutit verzi protokolu TLS, použijte nastavení minimální verze protokolu TLS. Pro toto nastavení možností jsou povoleny následující hodnoty:
| Minimální nastavení protokolu TLS | Podporovaná verze protokolu TLS klienta |
|---|---|
| TLSEnforcementDisabled (výchozí) | Nevyžaduje se žádný protokol TLS. |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 a vyšší |
| TLS1_1 | TLS 1.1, TLS 1.2 a vyšší |
| TLS1_2 | TLS verze 1.2 a vyšší |
Například nastavení minimální verze nastavení protokolu TLS na TLS 1.0 znamená, že váš server povolí připojení z klientů pomocí protokolu TLS 1.0, 1.1 a 1.2 nebo novější. Pokud to nastavíte na verzi 1.2, znamená to, že povolíte připojení jenom z klientů používajících protokol TLS 1.2 nebo novější a všechna připojení s protokolem TLS 1.0 a TLS 1.1 budou odmítnuta.
Poznámka:
Azure Database for MariaDB ve výchozím nastavení nevynucuje minimální verzi protokolu TLS (nastavení TLSEnforcementDisabled).
Jakmile vynutíte minimální verzi protokolu TLS, nebude možné později zakázat vynucení minimální verze.
Informace o nastavení protokolu TLS pro službu Azure Database for MariaDB najdete v tématu Postup konfigurace nastavení protokolu TLS.
Podpora šifrování ve službě Azure Database for MariaDB
V rámci komunikace SSL/TLS jsou šifrovací sady ověřeny a podporují pouze šifrovací obleky, které mohou komunikovat s databázovým serverem. Ověřování šifrovací sady je řízeno ve vrstvě brány, nikoli explicitně na samotném uzlu. Pokud šifrovací sady neodpovídají některé z níže uvedených sad, příchozí klientská připojení budou odmítnuta.
Podporovaná sada šifer
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Další kroky
- Další informace o pravidlech brány firewall serveru
- Informace o konfiguraci PROTOKOLU SSL
- Informace o konfiguraci protokolu TLS
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro