Aracılığıyla paylaş

MySQL için Azure Veritabanı için kök sertifika döndürme

Güvenlik ve uyumluluk standartlarımızı korumak için 1 Eylül 2025'in ardından MySQL için Azure Veritabanı Esnek Sunucusu kök sertifikalarını değiştirmeye başlıyoruz.

Geçerli kök sertifika DigiCert Genel Kök CA'sının yerini iki yeni kök sertifika alır:

  • DigiCert Genel Kök G2
  • Microsoft RSA Kök Sertifika Yetkilisi 2017

Aktarım Katmanı Güvenliği'ni (TLS) kök sertifika doğrulamasıyla kullanıyorsanız, geçiş döneminde üç kök sertifikanın da yüklü olması gerekir. Tüm sertifikalar değiştirildikten sonra eski SHA-1 kök sertifikası DigiCert Genel Kök CA'sını depodan kaldırabilirsiniz. Yeni sertifikaları 1 Eylül 2025'e kadar eklemezseniz veritabanlarıyla bağlantılarınız başarısız olur.

Bu makalede, iki yeni kök sertifikanın nasıl ekleneceğine ilişkin yönergeler ve sık sorulan soruların yanıtları sağlanır.

Note

SHA-1'in sürekli kullanımı engelleyiciyse ve genel kullanıma sunulmadan önce sertifikalarınızın değiştirilmesini istiyorsanız, istemcide birleştirilmiş sertifika yetkilisi (CA) sertifikası oluşturmaya yönelik bu makaledeki yönergeleri izleyin. Ardından MySQL için Azure Veritabanı sertifikanızı döndürmek için bir destek isteği açın.

Kök sertifika güncelleştirmesi neden gereklidir?

MySQL için Azure Veritabanı kullanıcılar yalnızca MySQL sunucu örneklerine bağlanmak için önceden tanımlanmış sertifikayı kullanabilir. Bu sertifikalar bir kök sertifika yetkilisi tarafından imzalı. Geçerli sertifika DigiCert Genel Kök CA tarafından imzalandı. SHA-1 kullanır. BULUNAN güvenlik açıkları nedeniyle SHA-1 karma algoritması oldukça güvenli değildir. Artık güvenlik standartlarımızla uyumlu değildir.

Sorunu düzeltmek için sertifikayı uyumlu bir kök sertifika yetkilisi tarafından imzalanan bir sertifikaya döndürmemiz gerekir.

İstemcinizdeki kök sertifika depoyu güncelleştirme

Kök sertifika döndürme sonrasında uygulamalarınızın MySQL için Azure Veritabanı'na bağlanaabilmesini sağlamak için istemcinizdeki kök sertifika depoyu güncelleştirin. Kök sertifika doğrulaması ile SSL/TLS kullanıyorsanız kök sertifika depoyu güncelleştirin.

Aşağıdaki adımlar, istemcinizdeki kök sertifika depoyu güncelleştirme işleminde size yol gösterir:

  1. Üç kök sertifikayı indirin. DigiCert Genel Kök CA sertifikasını yüklediyseniz ilk indirmeyi atlayabilirsiniz:

  2. DigiCert Genel Kök CA sertifikasını indirin.

  3. DigiCert Genel Kök G2 sertifikasını indirin.

  4. Microsoft RSA Kök Sertifika Yetkilisi 2017 sertifikasını indirin.

  5. İndirilen sertifikaları istemci sertifika deponuza ekleyin. İşlem, istemci türüne bağlı olarak değişir.

Java istemcinizi güncelleştirme

Kök sertifika döndürmesi için Java istemci sertifikalarınızı güncelleştirmek için bu adımları izleyin.

Yeni bir güvenilen kök sertifika deposu oluşturma

Java kullanıcıları için şu komutları çalıştırarak yeni bir güvenilen kök sertifika deposu oluşturun:

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Ardından özgün keystore dosyasını yeni oluşturulan dosyayla değiştirin:

  • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
  • System.setProperty("javax.net.ssl.trustStorePassword","password");

Mevcut güvenilen kök sertifika depolarını güncelleştirme

Java kullanıcıları için, yeni güvenilen kök sertifikaları mevcut bir güvenilen kök sertifika deposuna eklemek için şu komutları çalıştırın:

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Mevcut bir keystore'yu güncelleştirirseniz ve javax.net.ssl.trustStorePassword özelliklerini değiştirmeniz javax.net.ssl.trustStore gerekmez.

.NET istemcinizi güncelleştirme

Kök sertifika döndürmesi için .NET istemci sertifikalarınızı güncelleştirmek için bu adımları izleyin.

Windows üzerinde .NET

Windows'daki .NET kullanıcıları için DigiCert Genel Kök CA, DigiCert Genel Kök G2 ve Microsoft RSA Kök Sertifika Yetkilisi 2017'nin Windows sertifika deposunda Güvenilen Kök Sertifika Yetkilileri altında bulunduğundan emin olun. Herhangi bir sertifika yoksa içeri aktar.

MySQL için Azure Veritabanı .NET sertifikalarının ekran görüntüsü.

Linux üzerinde .NET

Linux üzerinde kullanan SSL_CERT_DIR.NET kullanıcıları için , DigiCertGlobalRootG2.crt.pemve Microsoft RSA Root Certificate Authority 2017.crt.pem öğesinin DigiCertGlobalRootCA.crt.pemtarafından SSL_CERT_DIRbelirtilen dizinde bulunduğundan emin olun. Herhangi bir sertifika yoksa eksik sertifika dosyasını oluşturun.

Microsoft RSA Root Certificate Authority 2017.crt Aşağıdaki komutu çalıştırarak sertifikayı PEM biçimine dönüştürün:

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Diğer istemciler

Diğer istemcileri kullanan diğer kullanıcılar için, üç kök sertifikayı da içeren birleştirilmiş bir sertifika dosyası oluşturmanız gerekir.

Diğer istemciler:

  • MySQL Workbench
  • C veya C++
  • Başlayın
  • Piton
  • Ruby programlama dili
  • PHP
  • Node.js
  • Perl
  • Hızlı

Adımlar

  1. Yeni bir metin dosyası oluşturma ve farklı kaydetme combined-ca-certificates.pem
  2. Üç sertifika dosyasının da içeriğini kopyalayıp aşağıdaki biçimde bu tek dosyaya yapıştırın:
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

MySQL'de veri içi replikasyonu

Hem birincil hem de çoğaltmanın Azure'da barındırıldığı veri çoğaltması için CA sertifika dosyalarını şu biçimde birleştirebilirsiniz:

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Aşağıdaki gibi çağırın mysql.az_replication_change_master :

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Replika sunucunuzu yeniden başlatın.

İlgili içerik

  • Last updated on