Az Azure Database for MySQL főtanúsítvány-rotációjának változásai

A biztonsági és megfelelőségi szabványok fenntartása érdekében 2025. július 31-ét követően megkezdjük a rugalmas Azure Database for MySQL-kiszolgáló főtanúsítványainak módosítását.

A DigiCert globális legfelső szintű hitelesítésszolgáltató jelenlegi főtanúsítványát két új váltja fel:

• DigiCert Global Root G2
• Microsoft RSA főtanúsítvány-szolgáltató 2017

Ha a Transport Layer Security (TLS) szolgáltatást főtanúsítvány-ellenőrzéssel használja, az átmeneti időszakban mindhárom főtanúsítványnak telepítve kell lennie. Az összes tanúsítvány módosítása után eltávolíthatja a régi SHA-1 főtanúsítványt, a DigiCert Global Root CA-t az áruházból. a két új tanúsítvány meglévő tárolóhoz való hozzáadásával. Ha 2025. július 31-e előtt nem adja hozzá az új tanúsítványokat, az adatbázisokkal való kapcsolatok sikertelenek lesznek.

Ez a cikk további útmutatást nyújt a két új főtanúsítvány hozzáadásához. a változásokról, valamint a gyakori kérdések megválaszolásáról

Feljegyzés

Ha az SHA-1 folyamatos használata blokkoló, és az általános bevezetés előtt módosítani szeretné a tanúsítványokat, kövesse az ebben a cikkben található utasításokat egy összevont hitelesítésszolgáltatói (CA)-tanúsítvány ügyfélen való létrehozásához. Ezután nyisson meg egy támogatási kérelmet a tanúsítvány frissítéséhez az Azure Database for MySQL-hez.

Miért van szükség főtanúsítvány-frissítésre?

Az Azure Database for MySQL-felhasználók csak az előre definiált tanúsítványt használhatják a MySQL-kiszolgálópéldányaikhoz való csatlakozáshoz. Ezeket a tanúsítványokat egy főtanúsítvány-szolgáltató írja alá. Az aktuális tanúsítványt a DigiCert globális legfelső szintű hitelesítésszolgáltatója írja alá. Az SHA-1-en alapul. Az SHA-1 kivonatoló algoritmus a felderített biztonsági rések miatt jelentős mértékben nem biztonságos. Már nem felel meg a biztonsági szabványainknak.

A probléma megoldásához ki kellett cserélnünk a tanúsítványt egy megbízható főtanúsítvány-szolgáltató által aláírt tanúsítványra.

A tanúsítványtár frissítése az ügyféleszközön

Annak érdekében, hogy az alkalmazások a főtanúsítvány-rotálás után kapcsolódhassanak az Azure Database for MySQL-hez, frissítenie kell a főtanúsítvány-tárolót az ügyfélen. Erre akkor van szükség, ha SSL-t/TLS-t használ főtanúsítvány-ellenőrzéssel.

Az alábbi lépések végigvezetik az ügyfél főtanúsítvány-tárolójának frissítési folyamatán:

1. Töltse le a három főtanúsítványt. Ha telepítette a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt , kihagyhatja az első letöltést:

   • A DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványának letöltése
   • Töltse le a DigiCert Global Root G2 tanúsítványt.
   • Töltse le a Microsoft RSA Gyökértanúsítvány Hatóság 2017 tanúsítványát.

2. Adja hozzá a letöltött tanúsítványokat az ügyféltanúsítvány-tárolóhoz. A folyamat az ügyfél típusától függően változik

   • Java-felhasználók számára futtassa az alábbi parancsokat egy új megbízható főtanúsítvány-tároló létrehozásához:

     keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
     keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
     keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt
     

     Ezután cserélje le az eredeti kulcstárfájlt az újonnan létrehozott fájlra:

     • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
     • System.setProperty("javax.net.ssl.trustStorePassword","password");

   • Java-felhasználók esetén futtassa az alábbi parancsokat az új megbízható főtanúsítványok meglévő megbízhatófőtanúsítvány-tárolóhoz való hozzáadásához:

     keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
     keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt
     

     Meglévő kulcstár frissítésekor nincs szükség a javax.net.ssl.trustStore és javax.net.ssl.trustStorePassword tulajdonságok módosítására.

   • Windows .NET-felhasználók esetén győződjön meg arról, hogy a DigiCert globális legfelső szintű hitelesítésszolgáltatója, a DigiCert Global Root G2 és a Microsoft RSA főtanúsítvány-szolgáltató 2017 a Megbízható legfelső szintű hitelesítésszolgáltatók alatt található a Windows tanúsítványtárolójában. Ha nem létezik tanúsítvány, importálja.

     

   • A Linuxos .NET-felhasználóknak, akik a SSL_CERT_DIR-t használják, figyeljenek rá, hogy a DigiCertGlobalRootCA.crt.pem, DigiCertGlobalRootG2.crt.pem és Microsoft RSA Root Certificate Authority 2017.crt.pem létezzenek a megadott SSL_CERT_DIR könyvtárban. Ha nem létezik tanúsítvány, hozza létre a hiányzó tanúsítványfájlt.

     Konvertálja a tanúsítványt Microsoft RSA Root Certificate Authority 2017.crt PEM formátumba az alábbi parancs futtatásával:

     openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem
     

   • Más (MySQL Workbench, C, C++, Go, Python, Ruby, PHP, Node.js, Perl vagy Swift) felhasználók esetében a ca-tanúsítványfájlokat az alábbi formátumban egyesítheti:

     -----BEGIN CERTIFICATE-----
     (Root CA1:DigiCertGlobalRootCA.crt.pem)
     -----END CERTIFICATE-----
     -----BEGIN CERTIFICATE-----
     (Root CA2: DigiCertGlobalRootG2.crt.pem)
     -----END CERTIFICATE-----
     -----BEGIN CERTIFICATE-----
     (Root CA3: .crt.pem)
     -----END CERTIFICATE-----
     

Hogyan tudom, hogy SSL/TLS-t használok-e főtanúsítvány-ellenőrzéssel?

A kapcsolati sztring áttekintésével megállapíthatja, hogy a kapcsolatok ellenőrzik-e a főtanúsítványt:

• Ha a kapcsolati karakterlánc tartalmazza a sslmode=verify-ca vagy a sslmode=verify-identity elemet, frissítenie kell a megbízható főtanúsítványokat.
• Ha a kapcsolati sztring tartalmaz sslmode=disable, sslmode=allowvagy sslmode=prefer, sslmode=requireakkor nem kell frissítenie a megbízható főtanúsítványokat.
• Ha a kapcsolati karakterlánc nem adja meg sslmode, nem szükséges frissítenie a tanúsítványokat.

Ha olyan ügyfelet használ, amely elvonja a kapcsolati sztring, tekintse át az ügyfél dokumentációját, hogy ellenőrizze-e a tanúsítványokat.

Használhatok kiszolgálóoldali lekérdezést annak ellenőrzésére, hogy SSL-t használok-e?

Annak ellenőrzéséhez, hogy SSL-kapcsolatot használ-e a kiszolgálóhoz való csatlakozáshoz, tekintse meg a TLS/SSL-kapcsolat ellenőrzését.

Gyakori kérdések

Mi történik, ha eltávolítom a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt?

Ha a tanúsítványt a Microsoft tanúsítványváltása előtt távolítja el, a kapcsolatok sikertelenek lesznek. Adja hozzá a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt az ügyféltanúsítvány-tárolóhoz a kapcsolat visszaállításához.

Hogyan győződhetek meg arról, hogy a MySQL-kapcsolatok a DigiCert Global Root G2 tanúsítvány letöltése után jönnek létre?

A főtanúsítvány módosítása után a rendszer leküldi az újonnan létrehozott tanúsítványt a kiszolgálókra. A kiszolgáló következő újraindítása után a rendszer az új tanúsítványt fogja használni. Ha csatlakozási problémákat tapasztal, ellenőrizze a fenti utasításokat a végrehajtásuk során felmerülő hibákért.

Ha nem SSL-t/TLS-t használok, frissíteni kell a főtanúsítványt?

Szám Nem kell semmilyen műveletet elvégeznie, ha nem HASZNÁL SSL-t/TLS-t.

Ha SSL/TLS protokollt használok, újra kell indítani az adatbázis-kiszolgálót a főtanúsítvány frissítéséhez?

Szám SSL/TLS használata esetén nem kell újraindítania az adatbázis-kiszolgálót az új tanúsítvány használatának megkezdéséhez.

A tanúsítványfrissítés ügyféloldali módosítás. A bejövő ügyfélkapcsolatoknak az új tanúsítvány használatával kell biztosítaniuk, hogy csatlakozni tudjanak az adatbázis-kiszolgálóhoz.

A módosításhoz szükség van az adatbázis-kiszolgáló karbantartási állásidejének megtervezésére?

Szám Mivel a módosítás csak az ügyféloldalon csatlakozik az adatbázis-kiszolgálóhoz, nem igényel karbantartási állásidőt az adatbázis-kiszolgáló számára.

Van visszaállítási terv a főtanúsítvány-rotációhoz?

Ha az alkalmazás problémákat tapasztal a tanúsítvány rotálása után, cserélje le a tanúsítványfájlt a kombinált tanúsítvány vagy az SHA-2-alapú tanúsítvány újratelepítésével a használati esettől függően. Javasoljuk, hogy ne állítsa vissza a módosítást, mert a módosítás kötelező.

Az Azure Database for MySQL által használt tanúsítványok megbízhatóak?

Az Azure Database for MySQL által használt tanúsítványok megbízható hitelesítésszolgáltatóktól származnak. Ezeknek a tanúsítványoknak a támogatása a hitelesítésszolgáltató által biztosított támogatáson alapul.

A DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványa a kevésbé biztonságos SHA-1 kivonatoló algoritmus használatával veszélyezteti az Azure Database for MySQL-hez csatlakozó alkalmazások biztonságát. Ezért kell tanúsítványmódosítást végeznünk.

A DigiCert Global Root G2 tanúsítvány ugyanazt a tanúsítványt használja, mint az egykiszolgálós üzembe helyezési beállítás?

Igen. A DigiCert Global Root G2-tanúsítvány, az Azure Database for MySQL SHA-2-alapú főtanúsítványa ugyanaz a tanúsítvány, amelyet az egykiszolgálós üzembe helyezési lehetőség használt.

Ha olvasási replikákat használok, ezt a frissítést csak a forráskiszolgálón vagy az olvasási replikákon kell elvégezni?

Mivel ez a frissítés egy ügyféloldali módosítás, ha több ügyfél olvas be adatokat a replikakiszolgálóról, akkor a módosításokat is alkalmaznia kell ezekre az ügyfelekre.

Ha adatreplikálást használok, végre kell hajtania valamilyen műveletet?

Ha adatreplikálást használ az Azure Database for MySQL-hez való csatlakozáshoz, és az adatreplikálás két Azure Database for MySQL-adatbázis között történik, a replikát a futtatással CALL mysql.az_replication_change_masteralaphelyzetbe kell állítania. Adja meg a hármas kettős gyökeres tanúsítványt az utolsó paraméterként, master_ssl_ca.

Van-e teendőm, ha már rendelkezem DigiCert Global Root G2 a Microsoft Root Certificate Authority 2017 tanúsítványfájlommal?

Szám Nem kell semmilyen műveletet elvégeznie, ha a tanúsítványfájl már rendelkezik a DigiCert Global Root G2 tanúsítvánnyal és a Microsoft Root Certificate Authority 2017 tanúsítvánnyal.

Mi a teendő, ha további kérdéseim vannak?

Ha továbbra is kérdései vannak, válaszokat kaphat a Microsoft Q&A közösségi szakértőitől.

Kapcsolódó tartalom

• Csatlakozás rugalmas Azure Database for MySQL-kiszolgálóhoz titkosított kapcsolatokkal