Rotação de certificado raiz para o Banco de Dados do Azure para MySQL

Para manter nossos padrões de segurança e conformidade, começamos a alterar os certificados raiz do Servidor Flexível do Banco de Dados do Azure para MySQL após 1º de setembro de 2025.

O certificado raiz atual DigiCert Global Root CA é substituído por dois novos certificados raiz:

• DigiCert Global Root G2
• Autoridade de Certificação Raiz Microsoft RSA 2017

Se você usar o TLS (Transport Layer Security) com a verificação de certificado raiz, deverá ter todos os três certificados raiz instalados durante o período de transição. Depois que todos os certificados forem alterados, você poderá remover o antigo certificado raiz SHA-1 DigiCert Global Root CA do repositório. Se você não adicionar os novos certificados antes de 1º de setembro de 2025, suas conexões com os bancos de dados falharão.

Este artigo fornece instruções sobre como adicionar os dois novos certificados raiz e respostas a perguntas frequentes.

Note

Se o uso contínuo do SHA-1 for um bloqueador e você quiser que seus certificados sejam alterados antes da distribuição geral, siga as instruções neste artigo para criar um certificado de AC (autoridade de certificação) combinado no cliente. Em seguida, abra uma solicitação de suporte para atualizar seu certificado para o Banco de Dados MySQL do Azure.

Por que a atualização do certificado raiz é necessária?

Os usuários do Banco de Dados do Azure para MySQL só podem usar o certificado predefinido para se conectar às instâncias do servidor MySQL deles. Esses certificados são assinados por uma autoridade de certificação raiz. O certificado atual é assinado pela DigiCert Global Root CA. Ele usa SHA-1. O algoritmo de hash SHA-1 é consideravelmente inseguro devido a vulnerabilidades descobertas. Ele não está mais em conformidade com nossos padrões de segurança.

Precisamos girar o certificado para um assinado por uma autoridade de certificação raiz compatível para corrigir o problema.

Como atualizar o repositório de certificados raiz em seu cliente

Para garantir que seus aplicativos possam se conectar ao Banco de Dados do Azure para MySQL após a rotação do certificado raiz, atualize o repositório de certificados raiz em seu cliente. Atualize o repositório de certificados raiz se você estiver usando SSL/TLS com verificação de certificado raiz.

As etapas a seguir orientam você pelo processo de atualização do repositório de certificados raiz em seu cliente:

1. Baixe os três certificados raiz. Se você instalou o certificado de AC Raiz Global digiCert , ignore o primeiro download:

2. Baixe o certificado de AC Raiz Global digiCert.

3. Baixe o certificado DigiCert Global Root G2.

4. Baixe o certificado da Autoridade de Certificação Raiz RSA do Microsoft de 2017.

5. Adicione os certificados baixados ao repositório de certificados do cliente. O processo varia dependendo do tipo de cliente.

Atualizar seu cliente Java

Siga estas etapas para atualizar seus certificados de cliente Java para a rotação de certificado raiz.

Criar um novo repositório de certificados raiz confiável

Para usuários Java , execute estes comandos para criar um novorepositório de certificados raiz confiável:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Em seguida, substitua o arquivo de repositório de chaves original pelo recém-gerado:

• System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
• System.setProperty("javax.net.ssl.trustStorePassword","password");

Atualizar um repositório de certificados raiz confiável existente

Para usuários Java, execute esses comandos para adicionar os novos certificados raiz confiáveis a um repositório de certificados raiz confiável existente:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Se você atualizar um repositório de chaves existente, não precisará alterar as propriedades e javax.net.ssl.trustStorePassword as javax.net.ssl.trustStore propriedades.

Atualizar seu cliente .NET

Siga estas etapas para atualizar seus certificados de cliente .NET para a rotação de certificado raiz.

.NET no Windows

Para usuários do .NET no Windows, verifique se a AC Raiz Global digiCert, o DigiCert Global Root G2 e a Autoridade de Certificação Raiz do Microsoft RSA 2017 existem no repositório de certificados do Windows em Autoridades de Certificação Raiz Confiáveis. Se algum certificado não existir, importe-o.

.NET no Linux

Para usuários do .NET no Linux que usamSSL_CERT_DIR, verifiquem isso DigiCertGlobalRootCA.crt.pemDigiCertGlobalRootG2.crt.peme Microsoft RSA Root Certificate Authority 2017.crt.pem existem no diretório indicado por SSL_CERT_DIR. Se algum certificado não existir, crie o arquivo de certificado ausente.

Converta o Microsoft RSA Root Certificate Authority 2017.crt certificado no formato PEM executando o seguinte comando:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Outros clientes

Para outros usuários que usam outros clientes, você precisa criar um arquivo de certificado combinado que contenha todos os três certificados raiz.

Outros clientes, como:

• MySQL Workbench
• C ou C++
• Go
• Python
• Ruby
• PHP
• Node.js
• Perl
• Swift

Etapas

1. Criar um novo arquivo de texto e salvá-lo como combined-ca-certificates.pem
2. Copie e cole o conteúdo dos três arquivos de certificado neste único arquivo no seguinte formato:

-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

Replicação de dados de entrada MySQL

Para a replicação de dados em que as réplicas primárias e primárias estão hospedadas no Azure, você pode mesclar os arquivos de certificado da AC nesse formato:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Chame mysql.az_replication_change_master da seguinte maneira:

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Reinicialize o servidor de réplica.

Conteúdo relacionado

• perguntas frequentes
• Conectar-se ao Banco de Dados do Azure para MySQL com conexões criptografadas