Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące rotacji certyfikatów głównych.
Co się stanie w przypadku usunięcia certyfikatu globalnego głównego urzędu certyfikacji firmy DigiCert?
Jeśli usuniesz certyfikat przed wymianą certyfikatu przez firmę Microsoft, połączenia kończą się niepowodzeniem. Dodaj ponownie certyfikat DigiCert Global Root CA do magazynu certyfikatów klienta, aby przywrócić łączność.
Jak mogę upewnić się, że połączenia MySQL działają po pobraniu certyfikatu Głównego G2 firmy DigiCert?
Po zmianie certyfikatu głównego nowy certyfikat zostanie wypchnięty na serwery. Po ponownym uruchomieniu serwera używa on nowego certyfikatu. Jeśli wystąpią problemy z łącznością, sprawdź poprzednie instrukcje pod kątem błędów.
Jeśli nie używam protokołu SSL/TLS, czy nadal muszę zaktualizować certyfikat główny?
Nie. Nie musisz podejmować żadnych działań, jeśli nie używasz protokołu SSL/TLS.
Jeśli używam protokołu SSL/TLS, czy muszę ponownie uruchomić serwer bazy danych, aby zaktualizować certyfikat główny?
Nie. Jeśli używasz protokołu SSL/TLS, nie musisz ponownie uruchamiać serwera bazy danych, aby rozpocząć korzystanie z nowego certyfikatu.
Aktualizacja certyfikatu jest zmianą po stronie klienta. Połączenia przychodzące klienta muszą używać nowego certyfikatu do nawiązywania połączenia z serwerem bazy danych.
Czy ta zmiana wymaga ode mnie zaplanowanych przestojów konserwacji serwera bazy danych?
Nie. Ponieważ zmiana znajduje się tylko po stronie klienta w celu nawiązania połączenia z serwerem bazy danych, nie wymaga żadnych przestojów konserwacyjnych dla serwera bazy danych.
Czy istnieje plan awaryjny dla rotacji certyfikatów głównych?
Jeśli aplikacja napotka problemy po rotacji certyfikatów, zastąp plik certyfikatu, ponownie zainstaluj połączony certyfikat lub certyfikat oparty na algorytmie SHA-2, w zależności od przypadku użycia. Zalecamy, aby nie wycofać zmiany, ponieważ zmiana jest obowiązkowa.
Czy certyfikaty używane przez usługę Azure Database for MySQL są wiarygodne?
Certyfikaty używane przez usługę Azure Database for MySQL pochodzą z zaufanych urzędów certyfikacji. Obsługujemy te certyfikaty w oparciu o obsługę zapewnianą przez urząd certyfikacji.
Certyfikat globalnego głównego urzędu certyfikacji firmy DigiCert używa mniej bezpiecznego algorytmu wyznaczania wartości skrótu SHA-1. Ten algorytm narusza zabezpieczenia aplikacji łączących się z usługą Azure Database for MySQL. Z tego powodu musimy przeprowadzić zmianę certyfikatu.
Czy certyfikat Globalnego katalogu głównego firmy DigiCert G2 jest tym samym certyfikatem, który jest używany przez opcję wdrożenia pojedynczego serwera?
Tak. Certyfikat Główny G2 firmy DigiCert jest certyfikatem głównym opartym na algorytmie SHA-2 dla usługi Azure Database for MySQL. Jest to ten sam certyfikat, którego użyto opcji wdrożenia pojedynczego serwera.
Jeśli używam replik do odczytu, czy muszę wykonać tę aktualizację tylko na serwerze źródłowym, czy też w replikach do odczytu?
Ponieważ ta aktualizacja jest zmianą po stronie klienta, należy zastosować zmiany dla wszystkich klientów odczytujących dane z serwera repliki.
Jeśli używam replikacji typu data-in, czy muszę podjąć jakieś działania?
Jeśli używasz replikacji typu data-in do nawiązywania połączenia z usługą Azure Database for MySQL, a replikacja danych znajduje się między dwiema bazami danych usługi Azure Database for MySQL, musisz zresetować replikę, uruchamiając polecenie CALL mysql.az_replication_change_master. Podaj potrójny certyfikat podwójnego katalogu głównego jako ostatni parametr , master_ssl_ca.
Czy muszę podjąć jakieś działania, jeśli mam już DigiCert Global Root G2 i Microsoft Root Certificate Authority 2017 w moim pliku certyfikatu?
Nie. Nie musisz podejmować żadnych działań, jeśli plik certyfikatu już zawiera certyfikat DigiCert Global Root G2 oraz certyfikat Microsoft Root Certificate Authority 2017.
Jak mogę wiedzieć, czy używam protokołu SSL/TLS z weryfikacją certyfikatu głównego?
Możesz określić, czy połączenia weryfikują certyfikat główny, przeglądając parametry połączenia:
- Jeśli parametry połączenia zawierają
sslmode=verify-calubsslmode=verify-identity, należy zaktualizować zaufane certyfikaty główne. - Jeśli parametry połączenia obejmują
sslmode=disable, ,sslmode=allowsslmode=preferlubsslmode=require, nie musisz aktualizować zaufanych certyfikatów głównych. - Jeśli łańcuch połączenia nie określa wartości
sslmode, nie musisz aktualizować certyfikatów.
Jeśli używasz klienta, który wyodrębnia parametry połączenia, zapoznaj się z dokumentacją klienta, aby dowiedzieć się, czy weryfikuje certyfikaty.
Czy mogę użyć zapytania po stronie serwera, aby sprawdzić, czy używam protokołu SSL?
Aby sprawdzić, czy używasz połączenia SSL do nawiązania połączenia z serwerem, zobacz Weryfikowanie połączenia TLS/SSL.
Co zrobić, jeśli mam więcej pytań?
Jeśli nadal masz pytania, możesz uzyskać odpowiedzi od ekspertów społeczności w witrynie Microsoft Q&A.