Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u antwoorden op veelgestelde vragen over het rouleren van basiscertificaten.
Wat gebeurt er als ik het DigiCert Global Root CA-certificaat verwijder?
Als u het certificaat verwijdert voordat Microsoft het certificaat draait, mislukken uw verbindingen. Voeg het Globale basis-CA-certificaat van DigiCert weer toe aan uw clientcertificaatarchief om de connectiviteit te herstellen.
Hoe kan ik ervoor zorgen dat MySQL-verbindingen werken nadat ik het DigiCert Global Root G2-certificaat heb gedownload?
Nadat het basiscertificaat is gewijzigd, wordt het nieuwe certificaat naar uw servers gepusht. Wanneer u de server opnieuw opstart, wordt het nieuwe certificaat gebruikt. Als u verbindingsproblemen ondervindt, controleert u de voorgaande instructies op eventuele fouten.
Als ik geen SSL/TLS gebruik, moet ik het basiscertificaat nog steeds bijwerken?
Nee. U hoeft geen actie te ondernemen als u geen SSL/TLS gebruikt.
Als ik SSL/TLS gebruik, moet ik mijn databaseserver opnieuw opstarten om het basiscertificaat bij te werken?
Nee. Als u SSL/TLS gebruikt, hoeft u de databaseserver niet opnieuw op te starten om het nieuwe certificaat te gaan gebruiken.
De certificaatupdate is een wijziging aan de clientzijde. Binnenkomende clientverbindingen moeten het nieuwe certificaat gebruiken om verbinding te maken met de databaseserver.
Moet ik voor deze wijziging onderhoudstijd plannen voor de databaseserver?
Nee. Omdat de wijziging zich alleen aan de clientzijde bevindt om verbinding te maken met de databaseserver, is er geen onderhoudstijd voor de databaseserver vereist.
Is er een terugdraaiplan voor de rotatie van het basiscertificaat?
Als uw toepassing problemen ondervindt na het rouleren van het certificaat, vervangt u het certificaatbestand door het gecombineerde certificaat of het SHA-2-gebaseerde certificaat opnieuw te installeren, afhankelijk van uw gebruiksscenario. U wordt aangeraden de wijziging niet terug te draaien, omdat de wijziging verplicht is.
Worden de certificaten die azure Database for MySQL gebruikt betrouwbaar?
De certificaten die door Azure Database for MySQL worden gebruikt, zijn afkomstig van vertrouwde certificeringsinstanties. We ondersteunen deze certificaten op basis van de ondersteuning die de certificeringsinstantie biedt.
Het DigiCert Global Root CA-certificaat maakt gebruik van het minder veilige SHA-1-hashingalgoritme. Dit algoritme maakt inbreuk op de beveiliging van toepassingen die verbinding maken met Azure Database for MySQL. Daarom moeten we een certificaatwijziging uitvoeren.
Is het DigiCert Global Root G2-certificaat hetzelfde certificaat dat door de implementatieoptie voor één server wordt gebruikt?
Ja. Het DigiCert Global Root G2-certificaat is het sha-2-basiscertificaat voor Azure Database for MySQL. Het is hetzelfde certificaat dat door de implementatieoptie enkele server wordt gebruikt.
Als ik leesreplica's gebruik, moet ik deze update alleen uitvoeren op de bronserver of ook op de leesreplica's?
Omdat deze update een wijziging aan de clientzijde is, moet u de wijzigingen toepassen voor alle clients die gegevens van de replicaserver lezen.
Als ik replicatie van gegevens gebruik, moet ik een actie uitvoeren?
Als u replicatie van gegevens gebruikt om verbinding te maken met Azure Database for MySQL en de gegevensreplicatie zich tussen twee Azure Database for MySQL-databases bevindt, moet u de replica opnieuw instellen door deze uit te voeren CALL mysql.az_replication_change_master. Geef het drievoudige dual-basiscertificaat op als de laatste parameter , master_ssl_ca.
Moet ik actie ondernemen als ik al DigiCert Global Root G2 en Microsoft Root Certificate Authority 2017 in mijn certificaatbestand heb?
Nee. U hoeft geen actie te ondernemen als het certificaatbestand al het DigiCert Global Root G2 certificaat en het Microsoft Root Certificate Authority 2017 certificaat heeft.
Hoe kan ik weten of ik SSL/TLS gebruik met verificatie van het basiscertificaat?
U kunt bepalen of uw verbindingen het basiscertificaat verifiëren door de verbindingsreeks te controleren:
- Als uw verbindingsreeks de vertrouwde basiscertificaten bevat
sslmode=verify-caofsslmode=verify-identity, moet u de vertrouwde basiscertificaten bijwerken. - Als uw verbindingsreeks
sslmode=disable,sslmode=allow,sslmode=preferofsslmode=requirebevat, hoeft u de vertrouwde basiscertificaten niet bij te werken. - Als uw verbindingsreeks niet opgeeft
sslmode, hoeft u certificaten niet bij te werken.
Als u een client gebruikt waarmee de verbindingsreeks wordt geabstraheerd, raadpleegt u de documentatie van de client om te begrijpen of certificaten worden geverifieerd.
Kan ik een query aan de serverzijde gebruiken om te controleren of ik SSL gebruik?
Zie De TLS/SSL-verbinding controleren om te controleren of u een SSL-verbinding gebruikt om verbinding te maken met de server.
Wat gebeurt er als ik meer vragen heb?
Als u nog steeds vragen hebt, kunt u antwoorden krijgen van community-experts in Microsoft Q&A.