Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A luglio 2025, il certificato radice per Database di Azure per MySQL cambia come parte delle procedure consigliate per la manutenzione e la sicurezza standard. Questo articolo offre altri dettagli sulle modifiche, sulle risorse interessate e sui passaggi per garantire che l'applicazione mantenga la connettività al server di database.
Annotazioni
Se SHA-1 è un ostacolo attuale, seguire le istruzioni riportate in questo articolo per creare un certificato combinato dell'autorità di certificazione (CA) sul client. Aprire quindi una richiesta di supporto per ruotare il certificato radice per Database di Azure per MySQL.
Perché è necessario un aggiornamento del certificato radice?
Gli utenti di Database di Azure per MySQL possono usare solo il certificato predefinito per connettersi alle istanze del server MySQL. Tuttavia, il certificato CA globale DigiCert è basato su SHA-1. L'algoritmo hash SHA-1 è notevolmente meno sicuro delle alternative, a causa di vulnerabilità individuate. Non è più conforme agli standard di sicurezza.
È necessario ruotare il certificato a una versione conforme per ridurre al minimo la potenziale minaccia per i server flessibili MySQL.
È necessario apportare modifiche al client per mantenere la connettività?
Dopo aver completato la rotazione del certificato radice, è presente una transizione in cui il vecchio certificato CA radice globale DigiCert non è più accettato e il nuovo certificato DigiCert Global Root G2 è autorizzato.
Per mantenere la connettività prima e dopo questa transizione, è consigliabile seguire questa procedura per aggregare entrambi i certificati in un unico file di certificato:
Scarica il certificato della CA radice globale DigiCert e scarica il certificato DigiCert Global Root G2.
Generare un archivio certificati CA combinato con i certificati DigiCert Global Root CA e DigiCert Global Root G2 inclusi.
Per gli utenti Java (MariaDB Connector/J), eseguire questi comandi:
keytool -importcert -alias MySqlFlexServerCACert -file D:\DigiCertGlobalRootCA.crt.pem -keystore truststore -storepass password -nopromptkeytool -importcert -alias MySqlFlexServerCACert2 -file D:\DigiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -nopromptSostituire quindi il file dell'archivio chiavi originale con quello appena generato:
System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");System.setProperty("javax.net.ssl.trustStorePassword","password");
Per gli utenti di .NET (MariaDB Connector/NET), assicurarsi che Baltimore CyberTrust Root e DigiCert Global Root G2 siano entrambi presenti nell'archivio certificati di Windows sotto Autorità di certificazione radice attendibili. Se uno dei due certificati non esiste, importarlo.
Per gli utenti .NET in Linux che usano
SSL_CERT_DIR, assicurarsi cheDigiCertGlobalRootCA.crt.pemeDigiCertGlobalRootG2.crt.pemsiano presenti nella directory indicata daSSL_CERT_DIR. Se uno dei due certificati non esiste, creare il file di certificato mancante.Per altri utenti (Client MariaDB, MySQL Workbench, C, C++, Go, Python, Ruby, PHP, Node.js, Perl o Swift), è possibile unire due file di certificato CA in questo formato:
-----BEGIN CERTIFICATE----- (Root CA1:DigiCertGlobalRootCA.crt.pem) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Root CA2: DigiCertGlobalRootG2.crt.pem) -----END CERTIFICATE-----
Sostituisci il file .pem del certificato radice originale con il file di certificato radice combinato e riavvia l'applicazione o il client.
In futuro, dopo la distribuzione del nuovo certificato sul lato server, è possibile modificare il file con estensione pem del certificato in DigiCertGlobalRootG2.crt.pem.
Cosa accade se si rimuove il certificato CA Root Globale DigiCert?
Se tu rimuovi il certificato, inizierai a osservare gli errori di connettività durante la connessione al database Azure per MySQL. Per mantenere la connettività, è necessario configurare SSL scaricando di nuovo il certificato CA globale DigiCert .
Come è possibile verificare che le connessioni MySQL vengano stabilite dopo aver scaricato il certificato DigiCert Global Root G2?
Dopo la modifica del certificato radice, il certificato appena generato viene inserito nei server dei clienti. Riavviate i vostri server per rendere effettivo il nuovo certificato DigiCert Global Root G2 sulle vostre connessioni.
Se non si usa SSL/TLS, è comunque necessario aggiornare il certificato radice?
No. Non è necessario eseguire alcuna azione se non si usa SSL/TLS.
Se si usa SSL/TLS, è necessario riavviare il server di database per aggiornare il certificato radice?
No. Se si usa SSL/TLS, non è necessario riavviare il server di database per iniziare a usare il nuovo certificato.
L'aggiornamento del certificato è una modifica lato client. Le connessioni client in ingresso devono usare il nuovo certificato per assicurarsi che possano connettersi al server di database.
Come è possibile sapere se si usa SSL/TLS con la verifica del certificato radice?
È possibile identificare se le connessioni verificano il certificato radice esaminando la stringa di connessione:
- Se la stringa di connessione include
sslmode=verify-caosslmode=verify-identity, è necessario aggiornare i certificati. - Se la stringa di connessione include
sslmode=disable,sslmode=allow,sslmode=preferosslmode=require, non è necessario aggiornare i certificati. - Se la stringa di connessione non specifica
sslmode, non è necessario aggiornare i certificati.
Se si usa un client che astrae la stringa di connessione, esaminare la documentazione del client per capire se verifica i certificati.
È possibile usare una query sul lato server per verificare se si usa SSL?
Per verificare se si usa una connessione SSL per connettersi al server, vedere Verificare la connessione TLS/SSL.
Questa modifica richiede di pianificare i tempi di inattività di manutenzione per il server di database?
No. Poiché la modifica è solamente sul lato client per la connessione al server del database, non richiede interruzioni per manutenzione del server del database.
Esiste un piano di ripristino dello stato precedente per la rotazione del certificato radice?
Se l'applicazione riscontra problemi dopo la rotazione del certificato, sostituire il file del certificato reinstallando il certificato combinato o il certificato basato su SHA-2, a seconda del caso d'uso. È consigliabile non eseguire il rollback della modifica perché la modifica è obbligatoria.
I certificati usati da Database di Azure per MySQL sono attendibili?
I certificati usati da Database di Azure per MySQL provengono da autorità di certificazione attendibili. Il supporto di questi certificati è basato sul supporto fornito dalla CA.
L'uso del certificato DigiCert Global Root CA con l'algoritmo di hash SHA-1, meno sicuro, compromette la sicurezza delle applicazioni che si connettono ad Azure Database per MySQL. Ecco perché è necessario eseguire una modifica del certificato.
Il certificato DigiCert Global Root G2 è lo stesso certificato usato dall'opzione di distribuzione Server singolo?
Sì. Il certificato DigiCert Global Root G2, il certificato radice basato su SHA-2 per Database di Azure per MySQL, è lo stesso certificato usato dall'opzione di distribuzione Server singolo.
Se si usano repliche in lettura, è necessario eseguire questo aggiornamento solo nel server di origine o anche nelle repliche in lettura?
Poiché questo aggiornamento è una modifica lato client, se più client leggono dati dal server di replica, è necessario applicare anche le modifiche per tali client.
Se si usa la replica dei dati in ingresso, è necessario eseguire un'azione?
Se stai usando la replica dei dati in per connetterti a Azure Database per MySQL, e la replica dei dati avviene tra due database Azure Database per MySQL, è necessario reimpostare la replica eseguendo CALL mysql.az_replication_change_master. Specificare il nuovo certificato dual-root come ultimo parametro , master_ssl_ca.
È necessario eseguire un'azione se nel file del certificato è già presente DigiCert Global Root G2?
No. Non è necessario eseguire alcuna azione se il file del certificato dispone già del certificato DigiCert Global Root G2.
Cosa succede se ho altre domande?
In caso di domande, è possibile ottenere risposte dagli esperti della community in Domande e risposte Microsoft.