Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo responde a perguntas comuns sobre a rotação de certificado raiz.
O que acontece se eu remover o certificado de CA Raiz Global da DigiCert?
Se você remover o certificado antes que a Microsoft gire o certificado, suas conexões falharão. Adicione novamente o certificado DigiCert Global Root CA ao repositório de certificados do cliente para restaurar a conectividade.
Como posso garantir que as conexões MySQL funcionem depois de baixar o certificado DigiCert Global Root G2?
Após a alteração do certificado raiz, o novo certificado é enviado por push para seus servidores. Quando você reinicia o servidor, ele usa o novo certificado. Se você tiver problemas de conectividade, verifique as instruções anteriores para corrigir possíveis erros.
Se eu não estiver usando SSL/TLS, ainda preciso atualizar o certificado raiz?
Não. Você não precisará tomar nenhuma ação se não estiver usando SSL/TLS.
Se eu estiver usando SSL/TLS, será necessário reiniciar meu servidor de banco de dados para atualizar o certificado raiz?
Não. Se você estiver usando o SSL/TLS, não será necessário reiniciar o servidor de banco de dados para começar a usar o novo certificado.
A atualização do certificado é uma alteração do lado do cliente. As conexões de cliente de entrada precisam usar o novo certificado para se conectar ao servidor de banco de dados.
Essa alteração exige que eu planeje o tempo de inatividade de manutenção para o servidor de banco de dados?
Não. Como a mudança ocorre apenas do lado do cliente para se conectar ao servidor de banco de dados, não há necessidade de nenhum tempo de inatividade para manutenção do servidor de banco de dados.
Há um plano de reversão para a rotação do certificado raiz?
Se o aplicativo tiver problemas após a rotação do certificado, substitua o arquivo de certificado reinstalando o certificado combinado ou o certificado baseado em SHA-2, dependendo do caso de uso. Recomendamos que você não reverta a alteração, pois a alteração é obrigatória.
Os certificados que o Banco de Dados do Azure para MySQL usa são confiáveis?
Os certificados usados pelo Banco de Dados do Azure para MySQL vêm de autoridades de certificação confiáveis. Damos suporte a esses certificados com base no suporte que a autoridade de certificação fornece.
O certificado Raiz Global da Autoridade Certificadora DigiCert usa o algoritmo de hash SHA-1 menos seguro. Esse algoritmo compromete a segurança de aplicativos que se conectam ao Banco de Dados do Azure para MySQL. Por esse motivo, precisamos executar uma alteração de certificado.
O certificado DigiCert Global Root G2 é o mesmo certificado usado pela opção de implantação do Servidor Único?
Sim. O certificado DigiCert Global Root G2 é o certificado raiz baseado em SHA-2 para o Banco de Dados do Azure para MySQL. É o mesmo certificado usado pela opção de implantação de Servidor Único.
Se eu estiver usando réplicas de leitura, preciso executar essa atualização somente no servidor de origem ou também nas réplicas de leitura?
Como essa atualização é uma alteração do lado do cliente, você precisa aplicar as alterações para todos os clientes que leem dados do servidor de réplica.
Se eu estiver usando a replicação de dados, preciso executar alguma ação?
Se você estiver usando a replicação de dados de entrada para se conectar ao Banco de Dados MySQL do Azure, e a replicação de dados estiver entre dois bancos de dados MySQL do Azure, você precisará redefinir a réplica executando CALL mysql.az_replication_change_master. Forneça o certificado triplo de raiz dupla como o último parâmetro master_ssl_ca.
Preciso executar alguma ação se já tiver DigiCert Global Root G2 e Microsoft Root Certificate Authority 2017 no meu arquivo de certificado?
Não. Você não precisará executar nenhuma ação se o arquivo de certificado já tiver o DigiCert Global Root G2 certificado e o Microsoft Root Certificate Authority 2017 certificado.
Como fazer para saber se estou usando SSL/TLS com verificação de certificado raiz?
Você pode identificar se suas conexões verificam o certificado raiz examinando sua cadeia de conexão:
- Se a cadeia de conexão incluir
sslmode=verify-caousslmode=verify-identity, você precisará atualizar os certificados raiz confiáveis. - Se a cadeia de conexão incluir
sslmode=disable,sslmode=allow,sslmode=preferousslmode=require, você não precisa atualizar os certificados raiz confiáveis. - Se a cadeia de conexão não especificar
sslmode, você não precisará atualizar certificados.
Se estiver usando um cliente que abstrai a cadeia de conexão, revise a documentação do cliente para entender se ele verifica os certificados.
Posso usar uma consulta do lado do servidor para verificar se estou usando o SSL?
Para verificar se você está usando uma conexão SSL para se conectar ao servidor, consulte Verificar a conexão TLS/SSL.
E se eu tiver mais perguntas?
Se você ainda tiver perguntas, poderá obter respostas de especialistas da comunidade no Microsoft Q&A.