Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden häufig gestellte Fragen zur Stammzertifikatsrotation beantwortet.
Was geschieht, wenn ich das DigiCert Global Root CA-Zertifikat entferne?
Wenn Sie das Zertifikat entfernen, bevor Microsoft das Zertifikat dreht, schlagen Ihre Verbindungen fehl. Fügen Sie das DigiCert Global Root CA-Zertifikat wieder zum Clientzertifikatspeicher hinzu, um die Konnektivität wiederherzustellen.
Wie kann ich sicherstellen, dass MySQL-Verbindungen funktionieren, nachdem ich das DigiCert Global Root G2-Zertifikat heruntergeladen habe?
Nach der Änderung des Stammzertifikats wird das neue Zertifikat an Ihre Server übertragen. Wenn Sie den Server neu starten, wird das neue Zertifikat verwendet. Wenn Konnektivitätsprobleme auftreten, überprüfen Sie die vorherigen Anweisungen auf Fehler.
Wenn ich SSL/TLS nicht verwende, muss ich das Stammzertifikat trotzdem aktualisieren?
Nein. Sie müssen keine Maßnahmen ergreifen, wenn Sie SSL/TLS nicht verwenden.
Wenn ich SSL/TLS verwende, muss ich meinen Datenbankserver neu starten, um das Stammzertifikat zu aktualisieren?
Nein. Wenn Sie SSL/TLS verwenden, müssen Sie den Datenbankserver nicht neu starten, um mit der Verwendung des neuen Zertifikats zu beginnen.
Die Zertifikataktualisierung ist eine clientseitige Änderung. Eingehende Clientverbindungen müssen das neue Zertifikat verwenden, um eine Verbindung mit dem Datenbankserver herzustellen.
Ist diese Änderung erforderlich, um Wartungsausfallzeiten für den Datenbankserver zu planen?
Nein. Da sich die Änderung nur auf der Clientseite befindet, um eine Verbindung mit dem Datenbankserver herzustellen, ist für den Datenbankserver keine Wartungsausfallzeiten erforderlich.
Gibt es einen Rollbackplan für die Rotation der Stammzertifizierungsstelle?
Wenn nach dem Zertifikatwechsel Probleme auftreten, installieren Sie die Zertifikatdatei erneut, entweder das kombinierte Zertifikat oder das SHA-2-basierte Zertifikat, abhängig von Ihrem Anwendungsfall. Wir empfehlen, die Änderung nicht zurückzunehmen, da die Änderung verpflichtend ist.
Sind die von der Azure-Datenbank für MySQL verwendeten Zertifikate vertrauenswürdig?
Die Von Azure-Datenbank für MySQL genutzten Zertifikate stammen von vertrauenswürdigen Zertifizierungsstellen. Wir unterstützen diese Zertifikate basierend auf der Unterstützung, die die Zertifizierungsstelle bereitstellt.
Das DigiCert Global Root CA-Zertifikat verwendet den weniger sicheren SHA-1-Hashing-Algorithmus. Dieser Algorithmus kompromittiert die Sicherheit von Anwendungen, die eine Verbindung mit Azure-Datenbank für MySQL herstellen. Aus diesem Grund müssen wir eine Zertifikatänderung durchführen.
Ist das DigiCert Global Root G2-Zertifikat dasselbe Zertifikat, das von der Single Server-Bereitstellungsoption verwendet wird?
Ja. Das DigiCert Global Root G2-Zertifikat ist das SHA-2-basierte Stammzertifikat für Azure-Datenbank für MySQL. Es ist dasselbe Zertifikat, das von der Single Server-Bereitstellungsoption verwendet wird.
Wenn ich Lesereplikate verwende, muss ich dieses Update nur auf dem Quellserver oder auch auf den Lesereplikaten ausführen?
Da es sich bei diesem Update um eine clientseitige Änderung handelt, müssen Sie die Änderungen für alle Clients anwenden, die Daten vom Replikatserver lesen.
Muss ich bei Verwendung der Datenreplikation eine Aktion ausführen?
Wenn Sie Daten-In-Replikation verwenden, um eine Verbindung mit Azure Database für MySQL herzustellen, und die Datenreplikation zwischen zwei Azure Database für MySQL-Datenbanken stattfindet, müssen Sie das Replikat zurücksetzen, indem Sie CALL mysql.az_replication_change_master ausführen. Geben Sie das dreifache Dual-Root-Zertifikat als letzten Parameter master_ssl_ca an.
Muss ich Maßnahmen ergreifen, wenn ich DigiCert Global Root G2 und Microsoft Root Certificate Authority 2017 bereits in meiner Zertifikatdatei habe?
Nein. Sie müssen keine Maßnahmen ergreifen, wenn Ihre Zertifikatdatei bereits über das DigiCert Global Root G2 Zertifikat und das Microsoft Root Certificate Authority 2017 Zertifikat verfügt.
Wie kann ich feststellen, ob ich SSL/TLS mit Stammzertifikatüberprüfung verwende?
Sie können ermitteln, ob Ihre Verbindungen das Stammzertifikat überprüfen, indem Sie die Verbindungszeichenfolge überprüfen:
- Wenn Ihre Verbindungszeichenfolge
sslmode=verify-caodersslmode=verify-identityeinschließt, müssen Sie die vertrauenswürdigen Stammzertifikate aktualisieren. - Wenn Ihre Verbindungszeichenfolge
sslmode=disable,sslmode=allow,sslmode=preferodersslmode=requireenthält, müssen Sie die vertrauenswürdigen Stammzertifikate nicht aktualisieren. - Wenn Ihre Verbindungszeichenfolge
sslmodenicht enthält, müssen Sie keine Zertifikate aktualisieren.
Wenn Sie einen Client verwenden, der die Verbindungszeichenfolge abstrahiert, lesen Sie die Dokumentation des Clients, um zu ermitteln, ob Zertifikate überprüft werden.
Kann ich eine serverseitige Abfrage verwenden, um zu überprüfen, ob ich SSL verwende?
Informationen dazu, ob Sie eine SSL-Verbindung zum Herstellen einer Verbindung mit dem Server verwenden, finden Sie unter Überprüfen der TLS/SSL-Verbindung.
Was ist, wenn ich weitere Fragen habe?
Wenn Sie noch Fragen haben, erhalten Sie Antworten von Communityexperten in Microsoft Q&A.