Inzicht in de wijzigingen in de basis-CA-wijziging voor Azure SQL Database & SQL Managed Instance
Azure SQL Database & SQL Managed Instance wijzigt het basiscertificaat voor de clienttoepassing/het stuurprogramma dat is ingeschakeld met Secure Sockets Layer (SSL) of Tls (Transport Layer Security), dat wordt gebruikt om een beveiligde TDS-verbinding tot stand te brengen. Het huidige basiscertificaat verloopt op 26 oktober 2020 als onderdeel van de aanbevolen procedures voor standaardonderhoud en beveiliging. In dit artikel vindt u meer informatie over de aanstaande wijzigingen, de resources die worden beïnvloed en de stappen die nodig zijn om ervoor te zorgen dat uw toepassing verbinding houdt met uw databaseserver.
Welke update gaat er gebeuren?
Het browserforum van de certificeringsinstantie (CA) heeft onlangs rapporten gepubliceerd van meerdere certificaten die zijn uitgegeven door CA-leveranciers om niet-compatibel te zijn.
Volgens de nalevingsvereisten van de branche zijn CA-leveranciers begonnen met het intrekken van CA-certificaten voor niet-compatibele CA's, waarbij servers certificaten moeten gebruiken die zijn uitgegeven door compatibele CA's en ondertekend door CA-certificaten van die compatibele CA's. Omdat Azure SQL Database & SQL Managed Instance momenteel een van deze niet-compatibele certificaten gebruikt, die clienttoepassingen gebruiken om hun TLS-verbindingen te valideren, moeten we ervoor zorgen dat de juiste acties worden ondernomen (hieronder beschreven) om de mogelijke impact op uw Azure SQL-servers te minimaliseren.
Het nieuwe certificaat wordt gebruikt vanaf 26 oktober 2020. Als u volledige validatie van het servercertificaat gebruikt bij het maken van verbinding vanaf een SQL-client (TrustServerCertificate=false), moet u ervoor zorgen dat uw SQL-client vóór 26 oktober 2020 een nieuw basiscertificaat kan valideren.
Hoe kan ik weten of mijn toepassing mogelijk wordt beïnvloed?
Alle toepassingen die gebruikmaken van SSL/TLS en controleren of het basiscertificaat moet worden bijgewerkt om verbinding te maken met Azure SQL Database en Azure SQL Managed Instance.
Als u momenteel geen SSL/TLS gebruikt, heeft dit geen invloed op de beschikbaarheid van uw toepassing. U kunt controleren of uw clienttoepassing probeert het basiscertificaat te verifiëren door naar de verbindingsreeks te kijken. Als TrustServerCertificate expliciet is ingesteld op true, wordt dit niet beïnvloed.
Als uw clientstuurprogramma gebruikmaakt van het certificaatarchief van het besturingssysteem, zoals het merendeel van de stuurprogramma's doet, en uw besturingssysteem regelmatig wordt onderhouden, heeft deze wijziging waarschijnlijk geen invloed op u, omdat het basiscertificaat waarnaar we overschakelen, al beschikbaar moet zijn in uw vertrouwde basiscertificaatarchief. Controleer of Baltimore CyberTrust Root en DigiCert GlobalRoot G2 Root aanwezig zijn.
Als uw clientstuurprogramma gebruikmaakt van het lokale bestandscertificaatarchief, om te voorkomen dat de beschikbaarheid van uw toepassing wordt onderbroken omdat certificaten onverwacht zijn ingetrokken of als u een certificaat wilt bijwerken dat is ingetrokken, raadpleegt u de sectie Wat moet ik doen om de connectiviteit te onderhouden.
Wat moet ik doen om de connectiviteit te behouden
Volg deze stappen om te voorkomen dat de beschikbaarheid van uw toepassing wordt onderbroken omdat certificaten onverwacht worden ingetrokken of als u een certificaat wilt bijwerken dat is ingetrokken:
Download Baltimore CyberTrust Root & DigiCert GlobalRoot G2 Root CA:
Genereer een gecombineerd CA-certificaatarchief met zowel BaltimoreCyberTrustRoot - als DigiCertGlobalRootG2-certificaten .
Wat kan de impact zijn?
Als u servercertificaten valideert zoals hier wordt beschreven, wordt de beschikbaarheid van uw toepassing mogelijk onderbroken omdat de database niet bereikbaar is. Afhankelijk van uw toepassing kunt u verschillende foutberichten ontvangen, waaronder maar niet beperkt tot:
- Ongeldig certificaat/ingetrokken certificaat
- Time-out opgetreden voor verbinding
- Fout indien van toepassing
Veelgestelde vragen
Als ik geen SSL/TLS gebruik, moet ik nog steeds de basis-CA bijwerken?
Er zijn geen acties met betrekking tot deze wijziging vereist als u GEEN SSL/TLS gebruikt. Toch moet u een plan instellen voor het gebruik van de nieuwste TLS-versie, omdat we in de nabije toekomst tls-afdwinging plannen.
Wat gebeurt er als ik het basiscertificaat vóór 26 oktober 2020 niet bijwerk?
Als u het basiscertificaat vóór 30 november 2020 niet bijwerkt, kunnen uw toepassingen die verbinding maken via SSL/TLS en verificatie voor het basiscertificaat niet communiceren met azure SQL Database & SQL Managed Instance en ondervindt de toepassing verbindingsproblemen met uw Azure SQL Database & SQL Managed Instance.
Moet ik een onderhoudstijd voor deze wijziging plannen?
Nee Omdat de wijziging zich alleen aan de clientzijde bevindt om verbinding te maken met de server, is er hier geen uitvaltijd voor onderhoud nodig voor deze wijziging.
Wat gebeurt er als ik vóór 26 oktober 2020 geen geplande downtime voor deze wijziging kan krijgen?
Omdat de clients die worden gebruikt voor het maken van verbinding met de server, de certificaatgegevens moeten worden bijgewerkt, zoals beschreven in de sectie Fix, hoeven we in dit geval geen downtime voor de server.
Als ik na 30 november 2020 een nieuwe server maak, wordt dit beïnvloed?
Voor servers die na 26 oktober 2020 zijn gemaakt, kunt u het zojuist uitgegeven certificaat voor uw toepassingen gebruiken om verbinding te maken via SSL/TLS.
Hoe vaak werkt Microsoft hun certificaten bij of wat is het verloopbeleid?
Deze certificaten die worden gebruikt door Azure SQL Database & SQL Managed Instance, worden geleverd door vertrouwde certificeringsinstanties (CA). De ondersteuning van deze certificaten in Azure SQL Database & SQL Managed Instance is dus gekoppeld aan de ondersteuning van deze certificaten door CA. Zoals in dit geval kunnen er echter onvoorziene bugs zijn in deze vooraf gedefinieerde certificaten, die op het eerste moment moeten worden opgelost.
Als ik leesreplica's gebruik, moet ik deze update alleen uitvoeren op de primaire server of alle leesreplica's?
Omdat deze update een wijziging aan de clientzijde is, moeten we ook de wijzigingen voor deze clients toepassen als de client die wordt gebruikt om gegevens van de replicaserver te lezen.
Hebben we een query aan de serverzijde om te controleren of SSL/TLS wordt gebruikt?
Omdat deze configuratie clientzijde is, is er geen informatie beschikbaar aan de serverzijde.
Wat gebeurt er als ik nog vragen heb?
Als u een ondersteuningsplan hebt en technische hulp nodig hebt, maakt u ondersteuning voor Azure aanvraag, raadpleegt u Hoe u ondersteuning voor Azure aanvraag maakt.