Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a főtanúsítványok rotálásával kapcsolatos gyakori kérdésekre ad választ.
Mi történik, ha eltávolítom a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt?
Ha eltávolítja a tanúsítványt, mielőtt a Microsoft elforgatja a tanúsítványt, a kapcsolatok sikertelenek lesznek. Adja hozzá a DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványt az ügyféltanúsítvány-tárolóhoz a kapcsolat visszaállításához.
Hogyan biztosítható, hogy a MySQL-kapcsolatok működjenek a DigiCert Global Root G2 tanúsítvány letöltése után?
A főtanúsítvány módosítása után a rendszer leküldi az új tanúsítványt a kiszolgálókra. A kiszolgáló újraindításakor az új tanúsítványt használja. Ha csatlakozási problémákat tapasztal, ellenőrizze az előző utasításokat a hibák elhárításához.
Ha nem SSL-t/TLS-t használok, frissíteni kell a főtanúsítványt?
Nem. Nem kell semmilyen műveletet elvégeznie, ha nem HASZNÁL SSL-t/TLS-t.
Ha SSL/TLS protokollt használok, újra kell indítani az adatbázis-kiszolgálót a főtanúsítvány frissítéséhez?
Nem. SSL/TLS használata esetén nem kell újraindítania az adatbázis-kiszolgálót az új tanúsítvány használatának megkezdéséhez.
A tanúsítványfrissítés ügyféloldali módosítás. A bejövő ügyfélkapcsolatoknak az új tanúsítványt kell használniuk az adatbázis-kiszolgálóhoz való csatlakozáshoz.
A módosításhoz szükség van az adatbázis-kiszolgáló karbantartási állásidejének megtervezésére?
Nem. Mivel a módosítás csak az ügyféloldalon csatlakozik az adatbázis-kiszolgálóhoz, nem igényel karbantartási állásidőt az adatbázis-kiszolgáló számára.
Van visszaállítási terv a főtanúsítvány-rotációhoz?
Ha az alkalmazás problémákat tapasztal a tanúsítvány rotálása után, cserélje le a tanúsítványfájlt a kombinált tanúsítvány vagy az SHA-2-alapú tanúsítvány újratelepítésével a használati esettől függően. Javasoljuk, hogy ne állítsa vissza a módosítást, mert a módosítás kötelező.
Az Azure Database for MySQL által használt tanúsítványok megbízhatóak?
Az Azure Database for MySQL által használt tanúsítványok megbízható hitelesítésszolgáltatóktól származnak. Ezeket a tanúsítványokat a hitelesítésszolgáltató által biztosított támogatás alapján támogatjuk.
A DigiCert globális legfelső szintű hitelesítésszolgáltatói tanúsítványa a kevésbé biztonságos SHA-1 kivonatolási algoritmust használja. Ez az algoritmus veszélyezteti az Azure Database for MySQL-hez csatlakozó alkalmazások biztonságát. Ezért tanúsítványmódosítást kell végrehajtanunk.
A DigiCert Global Root G2 tanúsítvány ugyanazt a tanúsítványt használja, mint az egykiszolgálós üzembe helyezési beállítás?
Igen. A DigiCert Global Root G2 tanúsítvány az Azure Database for MySQL SHA-2-alapú főtanúsítványa. Ugyanaz a tanúsítvány, amelyet az egykiszolgálós üzembe helyezési lehetőség használt.
Ha olvasási replikákat használok, ezt a frissítést csak a forráskiszolgálón vagy az olvasási replikákon kell elvégezni?
Mivel ez a frissítés ügyféloldali módosítás, a módosításokat minden olyan ügyfélre alkalmaznia kell, amely adatokat olvas a replikakiszolgálóról.
Ha adatreplikálást használok, végre kell hajtania valamilyen műveletet?
Ha adatreplikálást használ az Azure Database for MySQL-hez való csatlakozáshoz, és az adatreplikálás két Azure Database for MySQL-adatbázis között történik, a replikát a futtatással CALL mysql.az_replication_change_masteralaphelyzetbe kell állítania. Adja meg a három fő főtanúsítványt az utolsó paraméterként, master_ssl_ca.
Van-e teendőm, ha már rendelkezem DigiCert Global Root G2 a Microsoft Root Certificate Authority 2017 tanúsítványfájlommal?
Nem. Nem kell semmilyen műveletet elvégeznie, ha a tanúsítványfájl már rendelkezik a DigiCert Global Root G2 tanúsítvánnyal és a Microsoft Root Certificate Authority 2017 tanúsítvánnyal.
Hogyan tudom, hogy SSL/TLS-t használok-e főtanúsítvány-ellenőrzéssel?
A kapcsolati sztring áttekintésével megállapíthatja, hogy a kapcsolatok ellenőrzik-e a főtanúsítványt:
- Ha a kapcsolati karakterlánc tartalmazza a
sslmode=verify-cavagy asslmode=verify-identityelemet, frissítenie kell a megbízható főtanúsítványokat. - Ha a kapcsolati sztring tartalmaz
sslmode=disable,sslmode=allowvagysslmode=prefer,sslmode=requireakkor nem kell frissítenie a megbízható főtanúsítványokat. - Ha a kapcsolati karakterlánc nem adja meg
sslmode, nem szükséges frissítenie a tanúsítványokat.
Ha olyan ügyfelet használ, amely elvonja a kapcsolati sztring, tekintse át az ügyfél dokumentációját, hogy ellenőrizze-e a tanúsítványokat.
Használhatok kiszolgálóoldali lekérdezést annak ellenőrzésére, hogy SSL-t használok-e?
Annak ellenőrzéséhez, hogy SSL-kapcsolatot használ-e a kiszolgálóhoz való csatlakozáshoz, olvassa el a TLS/SSL-kapcsolat ellenőrzése című témakört.
Mi a teendő, ha további kérdéseim vannak?
Ha továbbra is kérdései vannak, válaszokat kaphat a Microsoft Q&A közösségi szakértőitől.