本文回答與根證書輪替相關的常見問題。
如果我移除 DigiCert 全域根 CA 憑證,會發生什麼事?
如果您在Microsoft輪替憑證之前移除憑證,您的聯機就會失敗。 將 DigiCert 全域根 CA 憑證新增回您的用戶端證書存儲,以還原連線。
如何在下載 DigiCert 全域根 G2 憑證之後,確保 MySQL 連線能夠運作?
更換根證書之後,新的憑證會推送至您的伺服器。 當您重新啟動伺服器時,它會使用新的憑證。 如果您遇到連線問題,請檢查上述指示是否有任何錯誤。
如果我未使用 SSL/TLS,我仍然需要更新根證書嗎?
否。 如果您未使用 SSL/TLS,則不需要採取任何動作。
如果我使用 SSL/TLS,需不需要重新啟動資料庫伺服器來更新根憑證?
否。 如果您使用 SSL/TLS,則不需要重新啟動資料庫伺服器,即可開始使用新的憑證。
憑證更新是客戶端變更。 連入客戶端連線需要使用新的憑證來連線到資料庫伺服器。
這項變更是否需要我規劃資料庫伺服器的維護停機時間?
否。 因為變更只會在用戶端連線到資料庫伺服器,因此不需要資料庫伺服器的任何維護停機時間。
根憑證輪替是否有復原計劃?
如果您的應用程式在憑證輪替之後遇到問題,請根據您的使用案例重新安裝合併的憑證或SHA-2型憑證來取代憑證檔案。 建議您不要回復變更,因為變更是強制性的。
適用於 MySQL 的 Azure 資料庫所使用的憑證是否值得信任?
適用於 MySQL 的 Azure 資料庫所使用的憑證來自受信任的證書頒發機構單位。 我們會根據證書頒發機構單位所提供的支援來支持這些憑證。
DigiCert 全域根 CA 憑證會使用較不安全的 SHA-1 哈希演算法。 此演算法會危害連線到適用於 MySQL 的 Azure 資料庫的應用程式安全性。 基於這個理由,我們需要執行憑證變更。
DigiCert 全域根 G2 憑證是否與單一伺服器部署選項所使用的憑證相同?
是的。 DigiCert Global Root G2 憑證是 Azure MySQL 資料庫的基於 SHA-2 的根憑證。 與單一伺服器部署選項所使用的憑證相同。
如果我使用讀取複本,我只需要在來源伺服器上或讀取複本上執行此更新嗎?
因為此更新是客戶端變更,因此您必須針對從複本伺服器讀取數據的所有用戶端套用變更。
如果我使用數據傳入複寫,是否需要執行任何動作?
如果您使用 數據輸入複製 來連接 Azure MySQL 資料庫,而且資料複製是介於兩個 Azure MySQL 資料庫之間,您必須執行 CALL mysql.az_replication_change_master 來重設副本。 提供三重雙根憑證作為最後一個參數,master_ssl_ca。
如果我已經擁有憑證檔案中的 DigiCert Global Root G2 和 Microsoft Root Certificate Authority 2017,我是否需要採取任何行動?
否。 如果您的憑證檔案已經有 DigiCert Global Root G2 憑證和 Microsoft Root Certificate Authority 2017 憑證,則不需要採取任何動作。
如何知道我是否搭配使用 SSL/TLS 與根憑證驗證?
您可以透過檢閱連接字串來識別您的連線是否驗證根憑證。
- 如果您的連接字串包含
sslmode=verify-ca或sslmode=verify-identity,您必須更新受信任的跟證書。 - 如果您的連接字串包含
sslmode=disable、sslmode=allow、sslmode=prefer或sslmode=require,則不需要更新受信任的跟證書。 - 如果您的連接字串未指定
sslmode,則不需要更新憑證。
如果您使用可將連接字串抽象化的用戶端,則請檢閱用戶端的文件,以了解用戶端是否驗證憑證。
是否可以使用伺服器端查詢來驗證我是否使用 SSL?
若要確認您是否使用 SSL 連線來連線到伺服器,請參閱 驗證 TLS/SSL 連線。
如果我還有問題要問該怎麼辦?
如果您仍然有問題,您可以從 Microsoft問答中取得社群專家的解答。