Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek odpovídá na běžné otázky týkající se obměně kořenových certifikátů.
Co se stane, když odeberu certifikát globální kořenové certifikační autority DigiCert?
Pokud certifikát odeberete před obměnou Microsoftem, vaše připojení selžou. Přidejte certifikát globální kořenové certifikační autority DigiCert zpět do úložiště klientských certifikátů a obnovte připojení.
Jak můžu zajistit, aby připojení MySQL fungovala po stažení globálního kořenového certifikátu DigiCert G2?
Po změně kořenového certifikátu se nový certifikát odešle na vaše servery. Když server restartujete, použije nový certifikát. Pokud dojde k problémům s připojením, zkontrolujte případné chyby v předchozích pokynech.
Pokud nepoužívám PROTOKOL SSL/TLS, musím stále aktualizovat kořenový certifikát?
Ne. Pokud nepoužíváte PROTOKOL SSL/TLS, nemusíte nic dělat.
Pokud používám protokol SSL/TLS, musím restartovat databázový server, aby se aktualizoval kořenový certifikát?
Ne. Pokud používáte PROTOKOL SSL/TLS, nemusíte restartovat databázový server, abyste mohli začít používat nový certifikát.
Aktualizace certifikátu je změna na straně klienta. Příchozí klientská připojení musí pro připojení k databázovému serveru použít nový certifikát.
Vyžaduje tato změna plánování výpadků údržby pro databázový server?
Ne. Vzhledem k tomu, že změna je pouze na straně klienta pro připojení k databázovému serveru, nevyžaduje pro databázový server žádný výpadek údržby.
Existuje záložní plán pro obměnu kořenových certifikátů?
Pokud vaše aplikace po obměně certifikátu narazí na problémy, nahraďte soubor certifikátu opětovnou instalací kombinovaného certifikátu nebo certifikátu založeného na algoritmu SHA-2 v závislosti na vašem způsobu použití. Doporučujeme, abyste změnu nevrátil zpět, protože změna je povinná.
Jsou certifikáty, které Azure Database for MySQL používá, důvěryhodné?
Certifikáty, které azure Database for MySQL používá, pocházejí z důvěryhodných certifikačních autorit. Tyto certifikáty podporujeme na základě podpory, kterou certifikační autorita poskytuje.
Certifikát globální kořenové certifikační autority DigiCert používá méně zabezpečený algoritmus hash SHA-1. Tento algoritmus ohrožuje zabezpečení aplikací, které se připojují ke službě Azure Database for MySQL. Z tohoto důvodu potřebujeme provést změnu certifikátu.
Je globální kořenový certifikát DigiCert G2 stejný certifikát, který používá možnost nasazení pro jeden server?
Ano. Certifikát DigiCert Global Root G2 je kořenový certifikát založený na sha-2 pro Službu Azure Database for MySQL. Jedná se o stejný certifikát, který použila možnost nasazení jednoúčelového serveru.
Pokud používám repliky pro čtení, musím tuto aktualizaci provést jenom na zdrojovém serveru nebo také na replikách pro čtení?
Vzhledem k tomu, že tato aktualizace je změna na straně klienta, je potřeba použít změny pro všechny klienty, kteří čtou data ze serveru repliky.
Pokud používám replikaci dat, musím provést nějakou akci?
Pokud k připojení ke službě Azure Database for MySQL používáte replikaci dat a replikace dat je mezi dvěma databázemi Azure Database for MySQL, musíte repliku resetovat spuštěním CALL mysql.az_replication_change_masterpříkazu . Jako poslední parametr zadejte trojitý duální kořenový certifikát master_ssl_ca.
Musím provést nějakou akci, pokud už mám DigiCert Global Root G2 a Microsoft Root Certificate Authority 2017 v souboru certifikátu?
Ne. Pokud váš soubor certifikátu již obsahuje certifikát DigiCert Global Root G2 a certifikát Microsoft Root Certificate Authority 2017, nemusíte nic dělat.
Návody vědět, jestli používám SSL/TLS s ověřením kořenového certifikátu?
Pokud chcete zjistit, jestli připojení ověřují kořenový certifikát, zkontrolujte připojovací řetězec:
- Pokud připojovací řetězec obsahuje
sslmode=verify-canebosslmode=verify-identity, musíte aktualizovat důvěryhodné kořenové certifikáty. - Pokud připojovací řetězec obsahuje
sslmode=disable,sslmode=allow,sslmode=prefernebosslmode=require, nemusíte aktualizovat důvěryhodné kořenové certifikáty. - Pokud připojovací řetězec neobsahuje
sslmode, nemusíte aktualizovat certifikáty.
Pokud používáte klienta, který abstrahuje připojovací řetězec pryč, projděte si dokumentaci klienta a zjistěte, jestli ověřuje certifikáty.
Můžu použít dotaz na straně serveru k ověření, jestli používám SSL?
Pokud chcete ověřit, jestli pro připojení k serveru používáte připojení SSL, přečtěte si téma Ověření připojení TLS/SSL.
Co když mám další otázky?
Pokud máte stále dotazy, můžete získat odpovědi od odborníků z komunity v Microsoft Q&A.