SSL/TLS-connectiviteit in Azure Database for MySQL
VAN TOEPASSING OP:
Azure Database for MySQL - enkele server
Belangrijk
Azure Database for MySQL enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan een upgrade uit te voeren naar een flexibele Azure Database for MySQL-server. Zie Wat gebeurt er met Azure Database for MySQL Enkele server voor meer informatie over migreren naar Azure Database for MySQL Flexibele server ?
Azure Database for MySQL ondersteunt het verbinden van uw databaseserver met clienttoepassingen met behulp van Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.
Notitie
Het bijwerken van de waarde van de require_secure_transport serverparameter heeft geen invloed op het gedrag van de MySQL-service. Gebruik de functies voor SSL- en TLS-afdwinging die in dit artikel worden beschreven om verbindingen met uw database te beveiligen.
Notitie
Op basis van de feedback van klanten hebben we de afschaffing van het basiscertificaat voor onze bestaande Baltimore Root CA verlengd tot 15 februari 2021 (02/15/2021).
Belangrijk
SSL-basiscertificaat is ingesteld op verlopen vanaf 15 februari 2021 (02-15-2021). Werk uw toepassing bij om het nieuwe certificaat te gebruiken. Zie geplande certificaatupdates voor meer informatie
Standaardinstellingen voor SSL
De databaseservice moet standaard worden geconfigureerd om SSL-verbindingen te vereisen bij het maken van verbinding met MySQL. We raden u aan om te voorkomen dat u de SSL-optie indien mogelijk uitschakelt.
Wanneer u een nieuwe Azure Database for MySQL-server inricht via Azure Portal en CLI, wordt het afdwingen van SSL-verbindingen standaard ingeschakeld.
Verbinding maken ietekenreeksen voor verschillende programmeertalen worden weergegeven in Azure Portal. Deze verbindingsreeks bevatten de vereiste SSL-parameters om verbinding te maken met uw database. Selecteer uw server in Azure Portal. Selecteer onder de kop Instellingen de Verbinding maken iontekenreeksen. De SSL-parameter varieert op basis van de connector, bijvoorbeeld 'ssl=true' of 'sslmode=require' of 'sslmode=required' en andere variaties.
In sommige gevallen is voor toepassingen een lokaal certificaatbestand vereist dat is gegenereerd op basis van een vertrouwd CA-certificaatbestand (Certificate Authority) om veilig verbinding te maken. Momenteel kunnen klanten alleen het vooraf gedefinieerde certificaat gebruiken om verbinding te maken met een Azure Database for MySQL-server, die zich bevindt op https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem.
Op dezelfde manier verwijzen de volgende koppelingen naar de certificaten voor servers in onafhankelijke clouds: Azure Government, Microsoft Azure beheerd door 21Vianet en Azure Duitsland.
Raadpleeg SSL configureren voor meer informatie over het in- of uitschakelen van SSL-verbinding bij het ontwikkelen van een toepassing.
TLS-afdwinging in Azure Database for MySQL
Azure Database for MySQL ondersteunt versleuteling voor clients die verbinding maken met uw databaseserver met behulp van Tls (Transport Layer Security). TLS is een standaardprotocol dat zorgt voor beveiligde netwerkverbindingen tussen uw databaseserver en clienttoepassingen, zodat u aan de nalevingsvereisten kunt voldoen.
TLS-instellingen
Azure Database for MySQL biedt de mogelijkheid om de TLS-versie af te dwingen voor de clientverbindingen. Als u de TLS-versie wilt afdwingen, gebruikt u de instelling voor de optie Minimale TLS-versie . De volgende waarden zijn toegestaan voor deze optieinstelling:
| Minimale TLS-instelling | Ondersteunde TLS-versie van client |
|---|---|
| TLSEnforcementDisabled (standaard) | Geen TLS vereist |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 en hoger |
| TLS1_1 | TLS 1.1, TLS 1.2 en hoger |
| TLS1_2 | TLS-versie 1.2 en hoger |
Als u bijvoorbeeld de waarde van minimale TLS-instellingsversie instelt op TLS 1.0, betekent dit dat uw server verbindingen toestaat van clients die TLS 1.0, 1.1 en 1.2+ gebruiken. Als u dit instelt op 1.2, betekent dit dat u alleen verbindingen van clients toestaat met BEHULP van TLS 1.2+ en alle verbindingen met TLS 1.0 en TLS 1.1 worden geweigerd.
Notitie
Standaard dwingt Azure Database for MySQL geen minimale TLS-versie (de instelling TLSEnforcementDisabled) af.
Zodra u een minimale TLS-versie afdwingt, kunt u het afdwingen van minimale versies later niet meer uitschakelen.
De minimale TLS-versie-instelling vereist geen herstart van de server kan worden ingesteld terwijl de server online is. Zie TLS-instelling configureren voor meer informatie over het instellen van de TLS-instelling voor uw Azure Database for MySQL.
Ondersteuning voor codering door Azure Database for MySQL enkele server
Als onderdeel van de SSL/TLS-communicatie worden de coderingssuites gevalideerd en kunnen alleen coderingspakken met de databaseserver communiceren. De validatie van de coderingssuite wordt beheerd in de gatewaylaag en niet expliciet op het knooppunt zelf. Als de coderingssuites niet overeenkomen met een van de onderstaande suites, worden binnenkomende clientverbindingen geweigerd.
Ondersteunde coderingssuite
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Volgende stappen
- Verbinding maken ionbibliotheken voor Azure Database for MySQL
- Meer informatie over het configureren van SSL
- Meer informatie over het configureren van TLS