Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье приводятся ответы на распространенные вопросы о смене корневого сертификата.
Что произойдет, если удалить сертификат глобального корневого ЦС DigiCert?
Если вы удалите сертификат, прежде чем корпорация Майкрософт сменит сертификат, подключения завершаются ошибкой. Добавьте сертификат DigiCert Global Root CA обратно в хранилище сертификатов клиента, чтобы восстановить подключение.
Как убедиться, что подключения MySQL работают после скачивания сертификата DigiCert Global Root G2?
После изменения корневого сертификата новый сертификат отправляется на серверы. При перезапуске сервера он использует новый сертификат. Если возникают проблемы с подключением, ознакомьтесь с приведенными выше инструкциями по любым ошибкам.
Если вы не используете SSL/TLS, необходимо ли обновить корневой сертификат?
Нет. Если вы не используете ПРОТОКОЛ SSL/TLS, вам не нужно предпринимать никаких действий.
Если вы используете SSL/TLS, необходимо ли перезапустить сервер базы данных для обновления корневого сертификата?
Нет. Если вы используете SSL/TLS, вам не нужно перезапустить сервер базы данных, чтобы начать использовать новый сертификат.
Обновление сертификата — это изменение на стороне клиента. Входящие клиентские подключения должны использовать новый сертификат для подключения к серверу базы данных.
Требуется ли это изменение для планирования простоя обслуживания сервера базы данных?
Нет. Поскольку изменения касаются только клиента и его подключения к серверу базы данных, это не требует времени простоя для обслуживания сервера базы данных.
Существует ли план отката для смены корневого сертификата?
Если в приложении возникают проблемы после смены сертификата, замените файл сертификата, переустановив объединенный сертификат или сертификат на основе SHA-2 в зависимости от варианта использования. Рекомендуется не откатить изменение, так как это изменение является обязательным.
Являются ли сертификаты, которые база данных Azure для MySQL использует надежно?
Сертификаты, которые использует база данных Azure для MySQL, получены из доверенных центров сертификации. Мы поддерживаем эти сертификаты на основе поддержки, которую предоставляет центр сертификации.
Сертификат глобального корневого ЦС DigiCert использует менее безопасный алгоритм хэширования SHA-1. Этот алгоритм компрометирует безопасность приложений, которые подключаются к Базе данных Azure для MySQL. По этой причине необходимо выполнить изменение сертификата.
Совпадает ли сертификат DigiCert Global Root G2 с сертификатом, используемым для развертывания на одном сервере?
Да. Сертификат DigiCert Global Root G2 — это корневой сертификат на основе SHA-2 для Базы данных Azure для MySQL. Это тот же сертификат, который использовался параметром развертывания одного сервера.
Если я использую реплики для чтения, нужно ли выполнять обновление только на исходном сервере или также на репликах для чтения?
Так как это обновление является клиентским изменением, необходимо применить изменения для всех клиентов, которые считывают данные с сервера-реплики.
Если я использую репликацию данных, необходимо ли выполнить какое-либо действие?
Если вы используете репликацию данных для подключения к Базе данных Azure для MySQL, а репликация данных выполняется между двумя базами данных Azure для MySQL, необходимо сбросить реплику, выполнив CALL mysql.az_replication_change_master. Укажите тройной двойной корневой сертификат в качестве последнего параметра , master_ssl_ca.
Нужно ли выполнить какие-либо действия, если у меня уже есть DigiCert Global Root G2 и Microsoft Root Certificate Authority 2017 в файле сертификата?
Нет. Вам не нужно предпринимать никаких действий, если файл сертификата уже имеет DigiCert Global Root G2 сертификат и Microsoft Root Certificate Authority 2017 сертификат.
Как узнать, используется ли протокол SSL/TLS с проверкой корневого сертификата?
Вы можете определить, проверяют ли подключения корневой сертификат, просматривая строку подключения:
- Если строка подключения включает
sslmode=verify-caилиsslmode=verify-identity, необходимо обновить доверенные корневые сертификаты. - Если строка подключения включает
sslmode=disable,sslmode=allowsslmode=preferилиsslmode=requireне требуется обновлять доверенные корневые сертификаты. - Если строка подключения не указана
sslmode, вам не нужно обновлять сертификаты.
Если вы используете клиент, который абстрагирует строку подключения, изучите документацию по этому клиенту, чтобы понять, проверяет ли он сертификаты.
Можно ли использовать серверный запрос, чтобы проверить, использует ли я SSL?
Чтобы проверить, используется ли SSL-подключение для подключения к серверу, см. статью "Проверка TLS/SSL-подключения".
Что делать, если у меня есть дополнительные вопросы?
Если у вас по-прежнему есть вопросы, вы можете получить ответы от экспертов сообщества в Microsoft Q&A.