Megosztás a következőn keresztül:

Főtanúsítvány-rotáció az Azure Database for MySQL-hez

A biztonsági és megfelelőségi szabványok fenntartása érdekében 2025. szeptember 1-ét követően megkezdjük a rugalmas Azure Database for MySQL-kiszolgáló főtanúsítványainak módosítását.

A DigiCert globális legfelső szintű hitelesítésszolgáltató jelenlegi főtanúsítványát két új főtanúsítvány váltja fel:

  • DigiCert Global Root G2
  • Microsoft RSA főtanúsítvány-szolgáltató 2017

Ha a Transport Layer Securityt (TLS) főtanúsítvány-ellenőrzéssel használja, az átmeneti időszakban mindhárom főtanúsítványnak telepítve kell lennie. Az összes tanúsítvány módosítása után eltávolíthatja a régi SHA-1 főtanúsítványt, a DigiCert Global Root CA-t az áruházból. Ha 2025. szeptember 1. előtt nem adja hozzá az új tanúsítványokat, az adatbázisokkal való kapcsolatok sikertelenek lesznek.

Ez a cikk útmutatást nyújt a két új főtanúsítvány hozzáadásához, valamint a gyakori kérdésekre adott válaszokhoz.

Note

Ha az SHA-1 folyamatos használata blokkoló, és az általános bevezetés előtt módosítani szeretné a tanúsítványokat, kövesse az ebben a cikkben található utasításokat egy összevont hitelesítésszolgáltatói (CA)-tanúsítvány ügyfélen való létrehozásához. Ezután nyisson meg egy támogatási kérelmet a tanúsítvány frissítéséhez az Azure Database for MySQL-hez.

Miért van szükség főtanúsítvány-frissítésre?

Az Azure Database for MySQL-felhasználók csak az előre definiált tanúsítványt használhatják a MySQL-kiszolgálópéldányaikhoz való csatlakozáshoz. Ezeket a tanúsítványokat egy főtanúsítvány-szolgáltató írja alá. Az aktuális tanúsítványt a DigiCert globális legfelső szintű hitelesítésszolgáltatója írja alá. SHA-1-et használ. Az SHA-1 kivonatoló algoritmus a felderített biztonsági rések miatt jelentős mértékben nem biztonságos. Már nem felel meg a biztonsági szabványainknak.

A probléma megoldásához el kell forgatnunk a tanúsítványt egy megfelelő főtanúsítvány-szolgáltató által aláírtra.

A tanúsítványtár frissítése az ügyféleszközön

Annak érdekében, hogy az alkalmazások a főtanúsítvány-rotálás után kapcsolódhassanak az Azure Database for MySQL-hez, frissítse a főtanúsítvány-tárolót az ügyfélen. Frissítse a főtanúsítvány-tárolót, ha SSL-t/TLS-t használ főtanúsítvány-ellenőrzéssel.

Az alábbi lépések végigvezetik az ügyfél főtanúsítvány-tárolójának frissítési folyamatán:

  1. Töltse le a három főtanúsítványt. Ha telepítette a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt , kihagyhatja az első letöltést:

  2. Töltse le a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványát.

  3. Töltse le a DigiCert Global Root G2 tanúsítványt.

  4. Töltse le a Microsoft RSA Gyökértanúsítvány Hatóság 2017 tanúsítványát.

  5. Adja hozzá a letöltött tanúsítványokat az ügyféltanúsítvány-tárolóhoz. A folyamat az ügyfél típusától függően változik.

A Java-ügyfél frissítése

Az alábbi lépéseket követve frissítheti a Java-ügyféltanúsítványokat a főtanúsítványok rotálásához.

Új megbízható főtanúsítvány-tároló létrehozása

Java-felhasználók számára futtassa az alábbi parancsokat egy új megbízható főtanúsítvány-tároló létrehozásához:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Ezután cserélje le az eredeti kulcstárfájlt az újonnan létrehozott fájlra:

  • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
  • System.setProperty("javax.net.ssl.trustStorePassword","password");

Meglévő megbízható főtanúsítvány-tároló frissítése

Java-felhasználók esetén futtassa az alábbi parancsokat az új megbízható főtanúsítványok meglévő megbízhatófőtanúsítvány-tárolóhoz való hozzáadásához:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Ha frissít egy meglévő kulcstárat, nem kell módosítania a tulajdonságokat és javax.net.ssl.trustStorePassword a javax.net.ssl.trustStore tulajdonságokat.

A .NET-ügyfél frissítése

Kövesse az alábbi lépéseket a .NET-ügyféltanúsítványok frissítéséhez a főtanúsítvány-rotációhoz.

.NET Windows rendszeren

Windows .NET-felhasználók esetén győződjön meg arról, hogy a DigiCert Globális legfelső szintű hitelesítésszolgáltató, a DigiCert Global Root G2 és a Microsoft RSA főtanúsítvány-szolgáltató 2017 létezik a Windows tanúsítványtárolójában a megbízható legfelső szintű hitelesítésszolgáltatók alatt. Ha nem létezik tanúsítvány, importálja.

Képernyőkép az Azure Database for MySQL .NET-tanúsítványokról.

.NET Linuxon

A linuxos .NET-felhasználók számára, akik ezt használják SSL_CERT_DIR, győződjön meg arról, hogy DigiCertGlobalRootCA.crt.pem, DigiCertGlobalRootG2.crt.pemés Microsoft RSA Root Certificate Authority 2017.crt.pem léteznek a megadott SSL_CERT_DIRkönyvtárban. Ha nem létezik tanúsítvány, hozza létre a hiányzó tanúsítványfájlt.

Konvertálja a tanúsítványt Microsoft RSA Root Certificate Authority 2017.crt PEM formátumba az alábbi parancs futtatásával:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Más ügyfelek

Más ügyfeleket használó felhasználók esetében létre kell hoznia egy kombinált tanúsítványfájlt, amely mindhárom főtanúsítványt tartalmazza.

Egyéb ügyfelek, például:

  • MySQL Workbench
  • C vagy C++
  • Go
  • Python
  • Ruby
  • PHP
  • Node.js
  • Perl
  • Gyors

Lépések

  1. Új szövegfájl létrehozása és mentése combined-ca-certificates.pem
  2. Másolja és illessze be mindhárom tanúsítványfájl tartalmát ebbe az egyetlen fájlba a következő formátumban:
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

Beérkező adatreplikáció MySQL

Olyan adatreplikálás esetén, ahol az elsődleges és a replika is az Azure-ban található, a ca-tanúsítványfájlokat az alábbi formátumban egyesítheti:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Hívás mysql.az_replication_change_master az alábbiak szerint:

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Indítsa újra a replikakiszolgálót.

Kapcsolódó tartalom

  • Last updated on