SSL-/TLS-kapcsolat az Azure Database for MySQL-ben
A következőkre vonatkozik:
Azure Database for MySQL – Önálló kiszolgáló
Fontos
Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?
Az Azure Database for MySQL támogatja az adatbázis-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kikényszerítése elősegíti a „köztes” támadások elleni védelmet, mert titkosítja a kiszolgáló és az alkalmazás közötti streameket.
Megjegyzés:
A kiszolgálóparaméter értékének require_secure_transport frissítése nem befolyásolja a MySQL-szolgáltatás működését. A cikkben ismertetett SSL- és TLS-kényszerítési funkciókkal biztonságossá teheti az adatbázishoz való csatlakozást.
Megjegyzés:
Az ügyfelek visszajelzése alapján 2021. február 15-ig (2021.02.15.) meghosszabbítottuk meglévő Baltimore Root CA főtanúsítvány-elavulását.
Fontos
Az SSL főtanúsítványa 2021. február 15-től (2021. 02. 15.) lejár. Frissítse az alkalmazást az új tanúsítvány használatára. További információ: tervezett tanúsítványfrissítések
ALAPÉRTELMEZETT SSL-beállítások
Alapértelmezés szerint az adatbázis-szolgáltatást úgy kell konfigurálni, hogy SSL-kapcsolatokat igényeljen a MySQL-hez való csatlakozáskor. Javasoljuk, hogy lehetőség szerint ne tiltsa le az SSL-beállítást.
Amikor új Azure Database for MySQL-kiszolgálót épít ki az Azure Portalon és a PARANCSSOR-on keresztül, alapértelmezés szerint engedélyezve van az SSL-kapcsolatok kényszerítése.
Csatlakozás különböző programozási nyelvekhez tartozó sztringek az Azure Portalon jelennek meg. Ezek a kapcsolati sztring tartalmazzák az adatbázishoz való csatlakozáshoz szükséges SSL-paramétereket. Az Azure Portalon válassza ki a kiszolgálót. A Gépház címsor alatt válassza ki a Csatlakozás ion sztringeket. Az SSL-paraméter az összekötőtől függően változik, például "ssl=true" vagy "sslmode=required" vagy "sslmode=required" és egyéb változatok.
Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA) tanúsítványfájlból létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. Az ügyfelek jelenleg csak az előre definiált tanúsítvány használatával csatlakozhatnak egy Azure Database for MySQL-kiszolgálóhoz, amely a következő helyen https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pemtalálható: .
Hasonlóképpen, a következő hivatkozások a független felhők kiszolgálóinak tanúsítványaira mutatnak: Az Azure Government, a 21Vianet által üzemeltetett Microsoft Azure és az Azure Germany.
Ha tudni szeretné, hogyan engedélyezheti vagy tilthatja le az SSL-kapcsolatot az alkalmazás fejlesztése során, tekintse meg az SSL konfigurálását ismertető témakört.
TLS-kényszerítés az Azure Database for MySQL-ben
Az Azure Database for MySQL támogatja az adatbázis-kiszolgálóhoz a Transport Layer Security (TLS) használatával csatlakozó ügyfelek titkosítását. A TLS egy szabványos iparági protokoll, amely biztonságos hálózati kapcsolatokat biztosít az adatbázis-kiszolgáló és az ügyfélalkalmazások között, lehetővé téve a megfelelőségi követelmények betartását.
TLS settings
Az Azure Database for MySQL lehetővé teszi a TLS-verzió kikényszerítését az ügyfélkapcsolatokhoz. A TLS-verzió kényszerítéséhez használja a Minimális TLS verzióbeállítást . A beállításhoz a következő értékek engedélyezettek:
| Minimális TLS-beállítás | Az ügyfél TLS-verziója támogatott |
|---|---|
| TL Standard kiadás nforcementDisabled (alapértelmezett) | Nincs szükség TLS-re |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 és újabb |
| TLS1_1 | TLS 1.1, TLS 1.2 és újabb |
| TLS1_2 | TLS 1.2-es és újabb verzió |
Ha például a minimális TLS-beállítási verzió értékét TLS 1.0-ra állítja, a kiszolgáló engedélyezi a TLS 1.0, 1.1 és 1.2+-t használó ügyfelek közötti kapcsolatokat. Ha ezt 1.2-re állítja, az azt jelenti, hogy csak a TLS 1.2+-t használó ügyfelek kapcsolatait engedélyezi, és a TLS 1.0 és a TLS 1.1 összes kapcsolatát a rendszer elutasítja.
Megjegyzés:
Alapértelmezés szerint az Azure Database for MySQL nem kényszeríti ki a minimális TLS-verziót (a beállítást TLSEnforcementDisabled).
A minimális TLS-verzió kényszerítése után később nem tilthatja le a minimális verziókényszerítést.
A minimális TLS-verzióbeállítás nem igényli a kiszolgáló újraindítását, amíg a kiszolgáló online állapotban van. Az Azure Database for MySQL TLS-beállításának beállításáról a TLS-beállítások konfigurálása című témakörben olvashat.
Az önálló Azure Database for MySQL-kiszolgáló titkosítási támogatása
Az SSL-/TLS-kommunikáció részeként a titkosítási csomagok érvényesítve vannak, és csak a támogató titkosítási öltönyök kommunikálhatnak az adatbázis-kiszolgálóval. A titkosítási csomag érvényesítése az átjárórétegben van szabályozva, és nem kifejezetten a csomóponton. Ha a titkosítócsomagok nem egyeznek az alább felsorolt csomagok egyikével, a rendszer elutasítja a bejövő ügyfélkapcsolatokat.
A titkosítási csomag támogatott
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
További lépések
- Csatlakozás ion-kódtárak az Azure Database for MySQL-hez
- Ismerje meg, hogyan konfigurálhatja az SSL-t
- Tudnivalók a TLS konfigurálásáról