Bagikan melalui

Rotasi sertifikat akar untuk Azure Database for MySQL

Untuk mempertahankan standar keamanan dan kepatuhan kami, kami mulai mengubah sertifikat akar untuk Azure Database for MySQL Flexible Server setelah 1 September 2025.

Sertifikat akar saat ini DigiCert Global Root CA digantikan oleh dua sertifikat akar baru:

  • DigiCert Global Root G2
  • Otoritas Sertifikat Akar Microsoft RSA 2017

Jika Anda menggunakan Keamanan Lapisan Transportasi (TLS) dengan verifikasi sertifikat akar, Anda harus menginstal ketiga sertifikat akar selama periode transisi. Setelah semua sertifikat diubah, Anda dapat menghapus sertifikat akar SHA-1 lama DigiCert Global Root CA dari penyimpanan. Jika Anda tidak menambahkan sertifikat baru sebelum 1 September 2025, koneksi Anda ke database gagal.

Artikel ini menyediakan instruksi tentang cara menambahkan dua sertifikat akar baru, dan jawaban atas pertanyaan yang sering diajukan.

Note

Jika penggunaan berkelanjutan SHA-1 adalah pemblokir dan Anda ingin sertifikat Anda diubah sebelum peluncuran umum, ikuti instruksi dalam artikel ini untuk membuat sertifikat otoritas sertifikat (CA) gabungan pada klien. Kemudian buka permintaan dukungan untuk memutar sertifikat Anda untuk Azure Database for MySQL.

Mengapa pembaruan sertifikat akar diperlukan?

Pengguna Azure Database for MySQL hanya dapat menggunakan sertifikat yang telah ditentukan sebelumnya untuk menyambungkan ke instans server MySQL mereka. Sertifikat ini ditandatangani oleh otoritas sertifikat akar. Sertifikat saat ini ditandatangani oleh DigiCert Global Root CA. Ini menggunakan SHA-1. Algoritma hash SHA-1 cukup tidak aman, karena kerentanan yang ditemukan. Ini tidak lagi sesuai dengan standar keamanan kami.

Kita perlu memutar sertifikat ke sertifikat yang ditandatangani oleh otoritas sertifikat akar yang sesuai untuk memulihkan masalah.

Cara memperbarui penyimpanan sertifikat akar pada klien Anda

Untuk memastikan bahwa aplikasi Anda dapat tersambung ke Azure Database for MySQL setelah rotasi sertifikat akar, perbarui penyimpanan sertifikat akar di klien Anda. Perbarui penyimpanan sertifikat akar jika Anda menggunakan SSL/TLS dengan verifikasi sertifikat akar.

Langkah-langkah berikut memandu Anda melalui proses pembaruan penyimpanan sertifikat akar pada klien Anda:

  1. Unduh tiga sertifikat akar. Jika Anda menginstal sertifikat CA Akar Global DigiCert , Anda dapat melewati unduhan pertama:

  2. Unduh sertifikat DIGICert Global Root CA.

  3. Unduh sertifikat DigiCert Global Root G2.

  4. Unduh sertifikat Microsoft RSA Root Certificate Authority 2017.

  5. Tambahkan sertifikat yang diunduh ke penyimpanan sertifikat klien Anda. Prosesnya bervariasi tergantung pada jenis klien.

Memperbarui klien Java Anda

Ikuti langkah-langkah ini untuk memperbarui sertifikat klien Java Anda untuk rotasi sertifikat akar.

Membuat penyimpanan sertifikat akar tepercaya baru

Untuk pengguna Java, jalankan perintah ini untuk membuat penyimpanan sertifikat akar tepercaya baru:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Kemudian ganti file keystore asli dengan yang baru dibuat:

  • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
  • System.setProperty("javax.net.ssl.trustStorePassword","password");

Memperbarui penyimpanan sertifikat akar tepercaya yang ada

Untuk pengguna Java, jalankan perintah ini untuk menambahkan sertifikat akar tepercaya baru ke penyimpanan sertifikat akar tepercaya yang ada:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Jika Memperbarui keystore yang ada, Anda tidak perlu mengubah javax.net.ssl.trustStore properti dan javax.net.ssl.trustStorePassword .

Memperbarui klien .NET Anda

Ikuti langkah-langkah ini untuk memperbarui sertifikat klien .NET Anda untuk rotasi sertifikat akar.

.NET di Windows

Untuk pengguna .NET di Windows, pastikan bahwa DigiCert Global Root CA, DigiCert Global Root G2, dan Microsoft RSA Root Certificate Authority 2017 ada di penyimpanan sertifikat Windows di bawah Otoritas Sertifikasi Akar Tepercaya. Jika ada sertifikat yang belum ada, imporlah.

Cuplikan layar sertifikat Azure Database for MySQL .NET.

.NET di Linux

Untuk pengguna .NET di Linux yang menggunakan SSL_CERT_DIR, pastikan bahwa DigiCertGlobalRootCA.crt.pem, DigiCertGlobalRootG2.crt.pem, dan Microsoft RSA Root Certificate Authority 2017.crt.pem ada di direktori yang ditunjukkan oleh SSL_CERT_DIR. Jika ada sertifikat yang tidak tersedia, buat file sertifikat tersebut.

Konversi sertifikat ke Microsoft RSA Root Certificate Authority 2017.crt format PEM dengan menjalankan perintah berikut:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Klien lain

Untuk pengguna lain yang menggunakan klien lain, Anda perlu membuat file sertifikat gabungan yang berisi ketiga sertifikat akar.

Klien lain seperti:

  • MySQL Workbench
  • C atau C++
  • Ayo pergi
  • Phyton
  • Ruby
  • PHP
  • Node.js
  • Perl
  • Swift

Langkah-langkah

  1. Buat file teks baru dan simpan sebagai combined-ca-certificates.pem
  2. Salin dan tempel konten ketiga file sertifikat ke dalam satu file ini dalam format berikut:
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

Replikasi data masuk MySQL

Untuk replikasi data di mana primer dan replika dihosting di Azure, Anda dapat menggabungkan file sertifikat CA dalam format ini:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Panggil mysql.az_replication_change_master sebagai berikut:

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Reboot server replika Anda.

Konten terkait

  • Last updated on