Freigeben über

Stammzertifikatrotation für Azure-Datenbank für MySQL

Um unsere Sicherheits- und Compliancestandards aufrechtzuerhalten, beginnen wir mit der Änderung der Stammzertifikate für Die Azure-Datenbank für MySQL Flexible Server nach dem 1. September 2025.

Das aktuelle Stammzertifikat DigiCert Global Root CA wird durch zwei neue Stammzertifikate ersetzt:

  • DigiCert Global Root G2
  • Microsoft RSA-Stammzertifizierungsstelle 2017

Wenn Sie Transport Layer Security (TLS) mit der Stammzertifikatüberprüfung verwenden, müssen alle drei Stammzertifikate während des Übergangszeitraums installiert sein. Sobald alle Zertifikate geändert wurden, können Sie das alte SHA-1-Stammzertifikat DigiCert Global Root CA aus dem Speicher entfernen. Wenn Sie die neuen Zertifikate vor dem 1. September 2025 nicht hinzufügen, schlagen Ihre Verbindungen mit den Datenbanken fehl.

Dieser Artikel enthält Anweisungen zum Hinzufügen der beiden neuen Stammzertifikate und Antworten auf häufig gestellte Fragen.

Note

Wenn die fortgesetzte Verwendung von SHA-1 ein Blocker ist und Ihre Zertifikate vor dem allgemeinen Rollout geändert werden sollen, befolgen Sie die Anweisungen in diesem Artikel zum Erstellen eines kombinierten Zertifizierungsstelle-Zertifikats auf dem Client. Öffnen Sie dann eine Supportanfrage, um Ihr Zertifikat für Azure Database for MySQL zu erneuern.

Warum ist eine Aktualisierung des Stammzertifikats erforderlich?

Benutzer von Azure Database for MySQL können eine Verbindung mit ihrem MySQL-Server nur mithilfe der vordefinierten Zertifikatsinstanzen herstellen. Diese Zertifikate werden von einer Stammzertifizierungsstelle signiert. Das aktuelle Zertifikat wird von DigiCert Global Root CA signiert. Es verwendet SHA-1. Der SHA-1-Hashing-Algorithmus ist aufgrund von entdeckten Sicherheitsrisiken erheblich unsicher. Es entspricht nicht mehr unseren Sicherheitsstandards.

Wir müssen das Zertifikat durch eines ersetzen, das von einer konformen Stammzertifizierungsstelle signiert wurde, um das Problem zu beheben.

So aktualisieren Sie den Stammzertifikatspeicher auf Ihrem Client

Um sicherzustellen, dass Ihre Anwendungen nach der Rotation des Stammzertifikats eine Verbindung mit der Azure-Datenbank für MySQL herstellen können, aktualisieren Sie den Stammzertifikatsspeicher auf Ihrem Client. Aktualisieren Sie den Stammzertifikatspeicher, wenn Sie SSL/TLS mit der Stammzertifikatüberprüfung verwenden.

Die folgenden Schritte führen Sie durch den Prozess der Aktualisierung des Stammzertifikatspeichers auf Ihrem Client:

  1. Laden Sie die drei Stammzertifikate herunter. Wenn Sie das DigiCert Global Root CA-Zertifikat installiert haben, können Sie den ersten Download überspringen:

  2. Laden Sie das DigiCert Global Root CA-Zertifikat herunter.

  3. Laden Sie das DigiCert Global Root G2-Zertifikat herunter.

  4. Laden Sie das Microsoft RSA-Stammzertifizierungsstelle 2017-Zertifikat herunter.

  5. Fügen Sie die heruntergeladenen Zertifikate zum Clientzertifikatspeicher hinzu. Der Prozess variiert je nach Clienttyp.

Aktualisieren Des Java-Clients

Führen Sie die folgenden Schritte aus, um Ihre Java-Clientzertifikate für die Erneuerung des Stammzertifikats zu aktualisieren.

Erstellen eines neuen vertrauenswürdigen Stammzertifikatspeichers

Führen Sie für Java-Benutzer die folgenden Befehle aus, um einen neuen vertrauenswürdigen Stammzertifikatspeicher zu erstellen:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Ersetzen Sie dann die ursprüngliche Keystoredatei durch die neu generierte Datei:

  • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
  • System.setProperty("javax.net.ssl.trustStorePassword","password");

Aktualisieren eines vorhandenen vertrauenswürdigen Stammzertifikatspeichers

Führen Sie für Java-Benutzer diese Befehle aus, um die neuen vertrauenswürdigen Stammzertifikate einem vorhandenen vertrauenswürdigen Stammzertifikatspeicher hinzuzufügen:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Wenn Sie einen vorhandenen Keystore aktualisieren, müssen Sie die javax.net.ssl.trustStore und javax.net.ssl.trustStorePassword Eigenschaften nicht ändern.

Aktualisieren Des .NET-Clients

Führen Sie die folgenden Schritte aus, um Ihre .NET-Clientzertifikate für die Rotation der Stammzertifikate zu aktualisieren.

.NET unter Windows

Stellen Sie für .NET-Benutzer unter Windows sicher, dass DigiCert Global Root CA, DigiCert Global Root G2 und Microsoft RSA Root Certificate Authority 2017 im Windows-Zertifikatspeicher unter vertrauenswürdigen Stammzertifizierungsstellen vorhanden sind. Wenn kein Zertifikat vorhanden ist, importieren Sie es.

Screenshot der Azure-Datenbank für MySQL .NET-Zertifikate.

.NET unter Linux

Für .NET-Benutzer unter Linux, die SSL_CERT_DIR verwenden, stellen Sie sicher, dass DigiCertGlobalRootCA.crt.pem, DigiCertGlobalRootG2.crt.pem und Microsoft RSA Root Certificate Authority 2017.crt.pem im Verzeichnis vorhanden sind, das durch SSL_CERT_DIR angegeben wird. Wenn kein Zertifikat vorhanden ist, erstellen Sie die fehlende Zertifikatdatei.

Konvertieren Sie das Zertifikat in das Microsoft RSA Root Certificate Authority 2017.crt PEM-Format, indem Sie den folgenden Befehl ausführen:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Andere Clients

Für andere Benutzer, die andere Clients verwenden, müssen Sie eine kombinierte Zertifikatdatei erstellen, die alle drei Stammzertifikate enthält.

Andere Clients wie:

  • MySQL Workbench
  • C oder C++
  • Go
  • Python
  • Rubin
  • PHP
  • Node.js
  • Perl
  • Swift

Schritte

  1. Erstellen einer neuen Textdatei und Speichern unter combined-ca-certificates.pem
  2. Kopieren Und einfügen Sie den Inhalt aller drei Zertifikatdateien in diese einzelne Datei im folgenden Format:
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

Daten-Replikation in MySQL

Bei der Datenreplikation, bei der sowohl die primäre Instanz als auch das Replikat in Azure gehostet werden, können Sie die ZS-Zertifikatsdateien in diesem Format zusammenführen:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Rufen Sie mysql.az_replication_change_master wie folgt an:

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Starten Sie den Replikatserver neu.

Verwandte Inhalte

  • Last updated on