Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Database for MySQL erfordert, dass alle Clientverbindungen Transport Layer Security (TLS) verwenden, ein Branchenstandardprotokoll, das die Kommunikation zwischen Ihrem Datenbankserver und Clientanwendungen verschlüsselt. TLS ersetzt das ältere SSL-Protokoll, wobei nur TLS-Versionen 1.2 und 1.3 als sicher erkannt wurden. Die Integrität der TLS-Sicherheit basiert auf drei Säulen:
- Verwenden sie nur TLS-Versionen 1.2 oder 1.3.
- Der Client überprüft das TLS-Zertifikat des Servers, das von einer Zertifizierungsstelle (Certificate Authority, CA) in einer Kette von Zertifizierungsstellen ausgestellt wurde, die von einer vertrauenswürdigen Stammzertifizierungsstelle gestartet wurden.
- Aushandeln einer sicheren Cipher-Suite zwischen Server und Client.
TLS-Konfigurationen in der Azure-Datenbank für mySQL Flexible Server
Azure Database for MySQL – flexibler Server unterstützt das Herstellen einer Verbindung zwischen Ihren Clientanwendungen und der Instanz von Azure Database for MySQL – flexibler Server über Secure Sockets Layer (SSL) mit TLS-Verschlüsselung (Transport Layer Security). TLS ist ein Standardprotokoll der Branche, das verschlüsselte Netzwerkverbindungen zwischen dem Datenbankserver und Clientanwendungen gewährleistet, sodass Sie Konformitätsanforderungen einhalten können.
Azure Database for MySQL – flexibler Server unterstützt standardmäßig verschlüsselte Verbindungen mit Transport Layer Security (TLS 1.2), und alle eingehenden Verbindungen mit TLS 1.0 und TLS 1.1 werden standardmäßig verweigert. Die Erzwingung einer verschlüsselten Verbindung oder die TLS-Versionskonfiguration bei Ihrem flexiblen Server kann konfiguriert und geändert werden.
Im Folgenden sind die verschiedenen Konfigurationen von SSL- und TLS-Einstellungen aufgeführt, die Sie bei Ihrem flexiblen Server verwenden können:
Von Bedeutung
Gemäß der Entfernung des Supports für die TLS 1.0- und TLS 1.1-Protokolle haben wir zuvor geplant, TLS 1.0 und 1.1 bis September 2024 vollständig zu beenden. Aufgrund von Abhängigkeiten, die von einigen Kunden identifiziert wurden, haben wir uns entschieden, die Zeitachse zu erweitern.
- Ab dem 31. August 2025 haben wir das erzwungene Upgrade für alle Server begonnen, die weiterhin TLS 1.0 oder 1.1 verwenden. Nach diesem Datum können alle Verbindungen, die auf TLS 1.0 oder 1.1 basieren, jederzeit nicht mehr funktionieren.
Um Dienstunterbrechungen zu vermeiden, empfehlen wir, dass Kunden ihre Migration zu TLS 1.2 so schnell wie möglich abschließen, um Dienstunterbrechungen zu vermeiden.
| Scenario | Einstellungen für Serverparameter | Description |
|---|---|---|
| Deaktivieren der TLS-Erzwingung | require_secure_transport = OFF |
Wenn Ihre Legacyanwendung verschlüsselte Verbindungen nicht unterstützt, können Sie die Erzwingung verschlüsselter Verbindungen deaktivieren. |
| Durchsetzen von TLS mit TLS-Version < 1.2 (September 2024 eingestellt) |
require_secure_transport = ON und tls_version = TLS 1.0 oder TLS 1.1 |
Nicht mehr verfügbar! |
| Erzwingen von TLS mit TLS-Version = 1.2(Standardkonfiguration) |
require_secure_transport = ON und tls_version = TLS 1.2 |
Standardkonfiguration. |
| TLS mit TLS-Version 1.3 erzwingen |
require_secure_transport = ON und tls_version = TLS 1.3 |
Empfohlene Konfiguration; wird nur mit Azure Database für MySQL Flexible Server Version v8.0 und höher unterstützt. |
Hinweis
Änderungen an TLS-Verschlüsselung werden nicht unterstützt. FIPS-kompatible Cipher-Suiten werden standardmäßig erzwungen, wenn tls_version auf TLS 1.2 oder TLS 1.3 gesetzt ist.
Überprüfen Sie die Verbindung mit SSL/TLS , um zu erfahren, wie Sie die TLS-Version identifizieren.
Vertrauenswürdige Stammzertifikate und Zertifikatrotationen
Von Bedeutung
Azure Database for MySQL hat eine TLS-Zertifikatrotation gestartet , um Zwischenzertifizierungsstellenzertifikate und die resultierende Zertifikatkette zu aktualisieren. Die Stammzertifizierungsstellen bleiben gleich.
Wenn Ihre Clientkonfiguration die empfohlenen Konfigurationen für TLS verwendet, müssen Sie keine Maßnahmen ergreifen.
Zeitplan für die Zertifikatrotation
- Azure-Regionen West Central US, Ostasien und Uk South begannen am 11. November 2025 ihre TLS-Zertifikatrotation.
- Ab dem 19. Januar 2026 erstreckt sich diese Zertifikatrotation auf die verbleibenden Regionen (außer China), einschließlich Azure Government.
- Nach dem Frühlingsfest (dem chinesischen Neujahrsfest) 2026 unterliegen auch Regionen in China einer Zertifikatrotation, die eine Änderung an einer Stammzertifizierungsstelle umfasst.
Stamm-CAs, die von Azure-Datenbank für MySQL verwendet werden
Stammzertifizierungsstellen sind die Zertifizierungsstellen der obersten Ebene in der Zertifikatkette. Azure Database for MySQL verwendet derzeit doppelt signierte Zertifikate, die von einer ICA ausgestellt wurden, verankert von den folgenden Stammzertifizierungsstellen:
China-Regionen verwenden derzeit die folgenden CAs:
- Microsoft RSA Root CA 2017
- DigiCert Global Root CA
- Nach dem Frühlingsfest (Chinesisches Neujahr) 2026: Digicert Global Root G2. Es wird empfohlen, sich im Voraus auf diese Änderung vorzubereiten, indem Sie die neue Stammzertifizierungsstelle zu Ihrem vertrauenswürdigen Stammzertifikatspeicher hinzufügen.
Informationen zu Zwischen-CAs
Azure Database for MySQL verwendet zwischengeschaltete CAs (ICAs), um Serverzertifikate auszustellen. Microsoft wechselt diese ICAs regelmäßig und die Serverzertifikate, die sie ausstellen, um die Sicherheit aufrechtzuerhalten. Diese Rotationen sind Routine und werden nicht im Voraus angekündigt.
Die aktuelle Rotation der Zwischenzertifizierungsstellen für DigiCert Global Root G2 (siehe Zertifikatrotation) begann im November 2025 und soll im 1. Quartal 2026 abgeschlossen werden. Die vorhandenen Zwischenzertifizierungsstellen werden wie folgt ersetzt. Wenn Sie die empfohlenen Methoden befolgt haben, erfordert diese Änderung keine Änderungen in Ihrer Umgebung.
Alte Zertifizierungsstellenkette
Diese Informationen werden nur zur Referenz bereitgestellt. Verwenden Sie keine Zwischenzertifizierungsstellen oder Serverzertifikate in Ihrem vertrauenswürdigen Stammspeicher.
DigiCert Global Root G2Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08- Serverzertifikat
Neue Zertifizierungsstellenkette
Diese Informationen werden nur zur Referenz bereitgestellt. Verwenden Sie keine Zwischenzertifizierungsstellen oder Serverzertifikate in Ihrem vertrauenswürdigen Stammspeicher.
DigiCert Global Root G2Microsoft TLS RSA Root G2Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16- Serverzertifikat
Zertifikatketten
Eine Zertifikatkette ist eine hierarchische Abfolge von Zertifikaten, die von vertrauenswürdigen Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt wurden, beginnend bei der Stammzertifizierungsstelle, die ICA-Zertifikate (Intermediate CA) ausgibt. ICAs können Zertifikate für untergeordnete ICAs ausstellen. Die niedrigste ICA in der Kette gibt einzelne Serverzertifikate aus. Die Vertrauenskette wird eingerichtet, indem jedes Zertifikat in der Kette bis zum Root-CA-Zertifikat überprüft wird.
Reduzieren von Verbindungsfehlern
Die Verwendung empfohlener TLS-Konfigurationen trägt dazu bei, das Risiko von Verbindungsfehlern aufgrund von Zertifikatdrehungen oder Änderungen in zwischengeschalteten Zertifizierungsstellen zu verringern. Vermeiden Sie insbesondere vertrauenswürdige Zwischenzertifizierungsstellen oder einzelne Serverzertifikate, da diese Methoden zu unerwarteten Verbindungsproblemen führen können, wenn Microsoft die Zertifikatkette aktualisiert.
Von Bedeutung
Änderungen an Stamm-CAs werden vorab angekündigt, damit Sie Ihre Clientanwendungen vorbereiten können. Serverzertifikatrotationen und Änderungen an zwischengeschalteten Zertifizierungsstellen sind jedoch routine und daher nicht angekündigt.
Vorsicht
Die Verwendung von nicht unterstützten Konfigurationen (Clientkonfigurationen) kann zu unerwarteten Verbindungsfehlern führen.
Empfohlene Konfigurationen für TLS
Optimale Konfiguration
- Erzwingen Sie die neueste, sicherste TLS-Version, indem Sie
require_secure_transport = ONundtls_version = TLS 1.3setzen. - Verwenden Sie die vollständige Überprüfung von Clientanwendungen (Einstellungen variieren je nach Client).
- Verwalten Sie immer den vollständigen Satz von Azure-Stammzertifikaten in Ihrem vertrauenswürdigen Stammspeicher.
Gute Konfiguration
- Stellen Sie
require_secure_transport = ONundtls_version = TLS 1.3ein. Setzen Sietls_versionnicht, wenn Sie TLS 1.2 unterstützen müssen. - Verwenden Sie die vollständige Überprüfung von Clientanwendungen (dies variiert je nach Client).
- Stellen Sie sicher, dass der vertrauenswürdige Stammspeicher das Stammzertifizierungsstellenzertifikat enthält, das derzeit von Azure Database for MySQL verwendet wird:
Unterstützt, nicht empfohlen
Wir raten dringend davon ab, TLS vollständig zu deaktivieren, indem Sie require_secure_transport auf OFF setzen.
Nicht unterstützte Konfigurationen; nicht verwenden
Azure MySQL kündigt keine Änderungen bezüglich Zwischenzertifizierungsstellen oder Rotationen einzelner Serverzertifikate an; daher werden die folgenden Konfigurationen nicht unterstützt:
- Sie verwenden Zwischenzertifizierungsstellenzertifikate in Ihrem vertrauenswürdigen Speicher.
- Sie verwenden das Anheften von Zertifikaten, z. B. die Verwendung einzelner Serverzertifikate in Ihrem vertrauenswürdigen Speicher.
Vorsicht
Ihre Anwendungen können ohne Vorwarnung keine Verbindung zu den Datenbankservern herstellen, wenn Microsoft die Zwischenzertifizierungsstellen der Zertifikatkette ändert oder das Serverzertifikat austauscht.
Weitere Überlegungen für TLS
Unsichere und sichere TLS-Versionen
Mehrere Behörden verwalten weltweit Richtlinien für TLS bezüglich der Netzwerksicherheit. In den Vereinigten Staaten umfassen diese Organisationen das Department of Health and Human Services und das National Institute of Standards and Technology. Das von TSL gebotene Sicherheitsniveau wird am stärksten von der TLS-Protokollversion und den unterstützten Verschlüsselungssammlungen beeinflusst.
Azure Database for MySQL unterstützt TLS Version 1.2 und 1.3. In RFC 8996 gibt die Internet Engineering Task Force (IETF) explizit an, dass TLS 1.0 und TLS 1.1 nicht verwendet werden dürfen. Beide Protokolle wurden Ende 2019 als veraltet gekennzeichnet. Alle eingehenden Verbindungen, die frühere unsichere Versionen des TLS-Protokolls verwenden, z. B. TLS 1.0 und TLS 1.1, werden standardmäßig verweigert.
Die IETF veröffentlichte die TLS 1.3-Spezifikation in RFC 8446 im August 2018, und TLS 1.3 ist die empfohlene Version, da sie schneller und sicherer als TLS 1.2 ist.
Obwohl es bei Bedarf nicht empfohlen wird, können Sie TLS für Verbindungen mit Ihrer Azure-Datenbank für MySQL deaktivieren. Sie können den Serverparameter require_secure_transport auf OFF aktualisieren.
Verschlüsselungsfamilien
Eine Verschlüsselungssuite ist eine Reihe von Algorithmen, die eine Verschlüsselung, einen Schlüsselaustauschalgorithmus und einen Hashingalgorithmus enthalten. Sie werden zusammen mit dem TLS-Zertifikat und der TLS-Version verwendet, um eine sichere TLS-Verbindung herzustellen. Die meisten TLS-Clients und -Server unterstützen mehrere Verschlüsselungssammlungen und manchmal mehrere TLS-Versionen. Während der Einrichtung der Verbindung verhandeln der Client und der Server die TLS-Version und die Verschlüsselungssuite, die über einen Handshake verwendet werden soll. Während dieses Handshakes tritt Folgendes auf:
- Der Client sendet eine Liste zulässiger Cipher-Suites.
- Der Server wählt die beste (nach eigener Definition) Verschlüsselungssuite aus der Liste aus und informiert den Kunden über die Wahl.
TLS-Features in Azure-Datenbank für MySQL nicht verfügbar
Zurzeit implementiert Azure Database for MySQL nicht die folgenden TLS-Features:
- TLS-zertifikatbasierte Clientauthentifizierung über TLS mit gegenseitiger Authentifizierung (mTLS).
- Benutzerdefinierte Serverzertifikate (Bring your own TLS certificates).