MySQL için Azure Veritabanı'de SSL/TLS bağlantısı
ŞUNLAR IÇIN GEÇERLIDIR:
MySQL için Azure Veritabanı - Tek Sunucu
Önemli
MySQL için Azure Veritabanı tek sunucu kullanımdan kaldırma yolundadır. Esnek MySQL için Azure Veritabanı sunucuya yükseltmenizi kesinlikle öneririz. MySQL için Azure Veritabanı esnek sunucuya geçiş hakkında daha fazla bilgi için bkz. MySQL için Azure Veritabanı Tek Sunucu'ya neler oluyor?
MySQL için Azure Veritabanı, Güvenli Yuva Katmanı (SSL) kullanarak veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarının zorunlu tutulması, sunucuya uygulamanız arasındaki veri akışını şifreleyerek "bağlantıyı izinsiz izleme" saldırılarına karşı korumaya yardımcı olur.
Dekont
Sunucu parametresi değerinin require_secure_transport güncelleştirilmesi MySQL hizmetinin davranışını etkilemez. Veritabanınıza bağlantıların güvenliğini sağlamak için bu makalede özetlenen SSL ve TLS zorlama özelliklerini kullanın.
Dekont
Müşterilerimizden gelen geri bildirimlere dayanarak mevcut Baltimore Kök CA'mız için kök sertifika kullanımdan kaldırma işlemini 15 Şubat 2021'e kadar uzattık (15.02.2021).
Önemli
SSL kök sertifikasının süresi 15 Şubat 2021'den (15.02.2021) itibaren sona erecek şekilde ayarlandı. Lütfen uygulamanızı yeni sertifikayı kullanacak şekilde güncelleştirin. Daha fazla bilgi edinmek için bkz. planlı sertifika güncelleştirmeleri
SSL Varsayılan ayarları
Varsayılan olarak, veritabanı hizmeti MySQL'e bağlanırken SSL bağlantıları gerektirecek şekilde yapılandırılmalıdır. Mümkün olduğunda SSL seçeneğini devre dışı bırakmaktan kaçınmanızı öneririz.
Azure portalı ve CLI aracılığıyla yeni bir MySQL için Azure Veritabanı sunucusu sağlanırken, SSL bağlantılarının uygulanması varsayılan olarak etkinleştirilir.
Azure portalında çeşitli programlama dilleri için Bağlan ion dizeleri gösterilir. Bu bağlantı dizesi, veritabanınıza bağlanmak için gerekli SSL parametrelerini içerir. Azure portalında sunucunuzu seçin. Ayarlar başlığı altında Bağlan ion dizelerini seçin. SSL parametresi bağlayıcıya göre değişir; örneğin"ssl=true" veya "sslmode=require" ya da "sslmode=required" ve diğer çeşitlemeler.
Bazı durumlarda, uygulamaların güvenli bir şekilde bağlanması için güvenilen bir Sertifika Yetkilisi (CA) sertifika dosyasından oluşturulan bir yerel sertifika dosyası gerekir. Şu anda müşteriler yalnızca konumunda https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pembulunan bir MySQL için Azure Veritabanı sunucusuna bağlanmak için önceden tanımlanmış sertifikayı kullanabilir.
Benzer şekilde, aşağıdaki bağlantılar bağımsız bulutlardaki sunucuların sertifikalarına işaret eder: Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure ve Azure Almanya.
Uygulama geliştirirken SSL bağlantısını etkinleştirmeyi veya devre dışı bırakmayı öğrenmek için bkz. SSL'yi yapılandırma.
MySQL için Azure Veritabanı'da TLS zorlaması
MySQL için Azure Veritabanı, Aktarım Katmanı Güvenliği (TLS) kullanarak veritabanı sunucunuza bağlanan istemciler için şifrelemeyi destekler. TLS, veritabanı sunucunuzla istemci uygulamaları arasında güvenli ağ bağlantıları sağlayarak uyumluluk gereksinimlerine uymanızı sağlayan endüstri standardı bir protokoldür.
TLS ayarları
MySQL için Azure Veritabanı, istemci bağlantıları için TLS sürümünü zorunlu kılma olanağı sağlar. TLS sürümünü zorunlu kılmak için En Düşük TLS sürümü seçeneği ayarını kullanın. Bu seçenek ayarı için aşağıdaki değerlere izin verilir:
| En düşük TLS ayarı | desteklenen istemci TLS sürümü |
|---|---|
| TLSEnforcementDisabled (varsayılan) | TLS gerekmez |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 ve üzeri |
| TLS1_1 | TLS 1.1, TLS 1.2 ve üzeri |
| TLS1_2 | TLS sürüm 1.2 ve üzeri |
Örneğin, en düşük TLS ayar sürümünün değerini TLS 1.0 olarak ayarlamak, sunucunuzun TLS 1.0, 1.1 ve 1.2+ kullanan istemcilerden gelen bağlantılara izin verdiği anlamına gelir. Alternatif olarak, bunu 1.2 olarak ayarlamak yalnızca TLS 1.2+ kullanan istemcilerden gelen bağlantılara izin verileceği ve TLS 1.0 ve TLS 1.1 ile tüm bağlantıların reddedileceği anlamına gelir.
Dekont
Varsayılan olarak, MySQL için Azure Veritabanı en düşük TLS sürümünü (ayarıTLSEnforcementDisabled) zorlamaz.
En düşük TLS sürümünü zorunlu kıldıktan sonra en düşük sürüm zorlamayı devre dışı bırakamazsınız.
En düşük TLS sürüm ayarı, sunucu çevrimiçiyken sunucunun yeniden başlatılmasını gerektirmez. MySQL için Azure Veritabanı tls ayarını nasıl ayarlayacağınızı öğrenmek için bkz. TLS ayarını yapılandırma.
Tek MySQL için Azure Veritabanı sunucu tarafından şifreleme desteği
SSL/TLS iletişiminin bir parçası olarak, şifreleme paketleri doğrulanır ve yalnızca destek şifreleme uygunlarının veritabanı sunucusuyla iletişim kurmasına izin verilir. Şifreleme paketi doğrulaması, ağ geçidi katmanında denetlenür ve düğümün kendisinde açıkça denetlenmemektedir. Şifreleme paketleri aşağıda listelenen paketlerden biriyle eşleşmiyorsa, gelen istemci bağlantıları reddedilir.
Desteklenen şifreleme paketi
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Sonraki adımlar
- MySQL için Azure Veritabanı için Bağlan kitaplıkları
- SSL'yi yapılandırmayı öğrenin
- TLS'yi yapılandırmayı öğrenin