この記事では、ルート証明書のローテーションに関する一般的な質問に回答します。
DigiCert グローバル ルート CA 証明書を削除するとどうなりますか?
Microsoft が証明書をローテーションする前に証明書を削除すると、接続は失敗します。 DigiCert グローバル ルート CA 証明書をクライアント証明書ストアに追加し直して、接続を復元します。
DigiCert グローバル ルート G2 証明書をダウンロードした後に MySQL 接続を確実に機能させるにはどうすればよいですか?
ルート証明書が変更されると、新しい証明書がサーバーにプッシュされます。 サーバーを再起動すると、新しい証明書が使用されます。 接続の問題が発生した場合は、上記の手順で間違いがないか確認してください。
SSL/TLS を使用していない場合でも、ルート証明書を更新する必要がありますか?
いいえ。 SSL/TLS を使用していない場合は、アクションを実行する必要はありません。
SSL/TLS を使用している場合は、データベース サーバーを再起動してルート証明書を更新する必要がありますか?
いいえ。 SSL/TLS を使用している場合は、新しい証明書の使用を開始するためにデータベース サーバーを再起動する必要はありません。
証明書の更新はクライアント側の変更です。 受信クライアント接続では、新しい証明書を使用してデータベース サーバーに接続する必要があります。
この変更では、データベース サーバーのメンテナンスのダウンタイムを計画する必要がありますか?
いいえ。 変更はデータベース サーバーに接続するためにクライアント側でのみ行われるため、データベース サーバーのメンテナンスダウンタイムは必要ありません。
ルート証明書のローテーションのロールバック計画はありますか?
証明書のローテーション後にアプリケーションで問題が発生した場合は、ユース ケースに応じて、組み合わせた証明書または SHA-2 ベースの証明書を再インストールして証明書ファイルを置き換えます。 変更は必須であるため、変更をロールバックしないことをお勧めします。
Azure Database for MySQL で使用される証明書は信頼できますか?
Azure Database for MySQL で使用される証明書は、信頼された証明機関から取得されます。 これらの証明書は、証明機関が提供するサポートに基づいてサポートされます。
DigiCert グローバル ルート CA 証明書では、安全性の低い SHA-1 ハッシュ アルゴリズムが使用されます。 このアルゴリズムは、Azure Database for MySQL に接続するアプリケーションのセキュリティを侵害します。 このため、証明書の変更を実行する必要があります。
DigiCert グローバル ルート G2 証明書は、単一サーバー展開オプションで使用したものと同じ証明書ですか?
はい。 DigiCert グローバル ルート G2 証明書は、Azure Database for MySQL の SHA-2 ベースのルート証明書です。 これは、単一サーバー展開オプションが使用したのと同じ証明書です。
読み取りレプリカを使用している場合は、ソース サーバーまたは読み取りレプリカでのみこの更新を実行する必要がありますか?
この更新プログラムはクライアント側の変更であるため、レプリカ サーバーからデータを読み取るすべてのクライアントに変更を適用する必要があります。
データイン レプリケーションを使用している場合は、何かアクションを実行する必要がありますか?
データイン レプリケーションを使用して Azure Database for MySQL に接続し、データ レプリケーションが 2 つの Azure Database for MySQL データベース間にある場合は、CALL mysql.az_replication_change_masterを実行してレプリカをリセットする必要があります。 最後のパラメーターとしてトリプル デュアルルート証明書を 指定master_ssl_ca。
証明書ファイルに既に DigiCert Global Root G2 と Microsoft Root Certificate Authority 2017 がある場合は、何らかのアクションを実行する必要がありますか?
いいえ。 証明書ファイルに既に DigiCert Global Root G2 証明書と Microsoft Root Certificate Authority 2017 証明書がある場合は、何も行う必要はありません。
ルート証明書の検証で SSL/TLS を使用しているかどうかはどうすればわかりますか?
接続文字列を確認することで、接続でルート証明書を確認するかどうかを確認できます。
- 接続文字列に
sslmode=verify-caまたはsslmode=verify-identityが含まれている場合は、信頼されたルート証明書を更新する必要があります。 - 接続文字列に
sslmode=disable、sslmode=allow、sslmode=prefer、またはsslmode=requireが含まれている場合は、信頼されたルート証明書を更新する必要はありません。 - 接続文字列で
sslmodeが指定されていない場合は、証明書を更新する必要はありません。
接続文字列が抽象化されるクライアントを使用している場合、証明書が検証されているかどうかを確認するには、クライアントのドキュメントを参照してください。
サーバー側クエリを使用して、SSL を使用しているかどうかを確認することはできますか?
SSL 接続を使用してサーバーに接続しているかどうかを確認するには、「 TLS/SSL 接続の確認」を参照してください。
その他の質問がある場合はどうすればよいですか?
それでも質問がある場合は、 Microsoft Q&A のコミュニティ エキスパートから回答を得ることができます。