Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo responde a perguntas comuns sobre a rotação de raiz de certificados.
O que acontece se eu remover o certificado DigiCert Global Root CA?
Se você remover o certificado antes que a Microsoft gire o certificado, suas conexões falharão. Adicione novamente o certificado CA Raiz Global da DigiCert ao armazém de certificados do cliente para restaurar a conectividade.
Como posso garantir que as conexões MySQL funcionem depois de baixar o certificado DigiCert Global Root G2?
Após a alteração do certificado raiz, o novo certificado é enviado por push para os servidores. Quando você reinicia o servidor, ele usa o novo certificado. Se você tiver problemas de conectividade, verifique as instruções anteriores para verificar se há erros.
Se eu não estiver usando SSL/TLS, ainda preciso atualizar o certificado raiz?
Não. Você não precisa tomar nenhuma ação se não estiver usando SSL/TLS.
Se eu estiver usando SSL/TLS, preciso reiniciar meu servidor de banco de dados para atualizar o certificado raiz?
Não. Se você estiver usando SSL/TLS, não precisará reiniciar o servidor de banco de dados para começar a usar o novo certificado.
A atualização do certificado é uma alteração do lado do cliente. As conexões de cliente de entrada precisam usar o novo certificado para se conectar ao servidor de banco de dados.
Essa alteração exige que eu planeje o tempo de inatividade de manutenção para o servidor de banco de dados?
Não. Como a mudança ocorre apenas no lado do cliente para se conectar ao servidor de banco de dados, não requer nenhuma interrupção para manutenção do servidor de banco de dados.
Existe um plano de reversão para a rotação do certificado raiz?
Se seu aplicativo tiver problemas após a rotação do certificado, substitua o arquivo de certificado reinstalando o certificado combinado ou o certificado baseado em SHA-2, dependendo do seu caso de uso. Recomendamos que você não reverta a alteração, porque a alteração é obrigatória.
Os certificados que o Banco de Dados do Azure para MySQL usa são confiáveis?
Os certificados que o Banco de Dados do Azure para MySQL usa vêm de autoridades de certificação confiáveis. Oferecemos suporte a esses certificados com base no suporte fornecido pela autoridade de certificação.
O certificado DigiCert Global Root CA usa o algoritmo de hash SHA-1 menos seguro. Esse algoritmo compromete a segurança dos aplicativos que se conectam ao Banco de Dados do Azure para MySQL. Por esse motivo, precisamos realizar uma alteração de certificado.
O certificado DigiCert Global Root G2 é o mesmo certificado que a opção de implantação de Servidor Único usou?
Yes. O certificado DigiCert Global Root G2 é o certificado raiz baseado em SHA-2 para o Banco de Dados do Azure para MySQL. É o mesmo certificado que a opção de implantação de Servidor Único usou.
Se eu estiver usando réplicas de leitura, preciso executar essa atualização somente no servidor de origem ou também nas réplicas de leitura?
Como essa atualização é uma alteração do lado do cliente, você precisa aplicar as alterações para todos os clientes que leem dados do servidor de réplica.
Se eu estiver usando a replicação de dados de entrada, preciso executar alguma ação?
Se estiver a usar replicação de dados para se conectar ao Azure Database for MySQL, e a replicação de dados for entre duas bases de dados do Azure Database for MySQL, é necessário redefinir a réplica de dados ao executar CALL mysql.az_replication_change_master. Forneça o certificado triplo de raiz dupla como o último parâmetro, master_ssl_ca.
Preciso tomar alguma medida se já tiver DigiCert Global Root G2 e Microsoft Root Certificate Authority 2017 no meu arquivo de certificado?
Não. Você não precisa tomar nenhuma medida se o arquivo de certificado já tiver o DigiCert Global Root G2 certificado e o Microsoft Root Certificate Authority 2017 certificado.
Como sei se estou usando SSL/TLS com verificação de certificado raiz?
Você pode identificar se suas conexões verificam o certificado raiz examinando sua cadeia de conexão:
- Se sua cadeia de conexão incluir
sslmode=verify-caousslmode=verify-identity, você precisará atualizar os certificados raiz confiáveis. - Se sua cadeia de conexão incluir
sslmode=disable,sslmode=allow,sslmode=prefer, ousslmode=require, você não precisará atualizar os certificados raiz confiáveis. - Se sua cadeia de conexão não especificar
sslmode, você não precisará atualizar certificados.
Se você estiver usando um cliente que abstrai a cadeia de conexão, revise a documentação do cliente para entender se ele verifica certificados.
Posso usar uma consulta do lado do servidor para verificar se estou usando SSL?
Para verificar se você está usando uma conexão SSL para se conectar ao servidor, consulte Verificar a conexão TLS/SSL.
E se eu tiver mais perguntas?
Se ainda tiver dúvidas, pode obter respostas de especialistas da comunidade em Perguntas e respostas da Microsoft.