本文解答有关根证书轮换的常见问题。
如果删除 DigiCert 全局根 CA 证书,会发生什么情况?
如果在Microsoft轮换证书之前删除证书,连接将失败。 将 DigiCert 全局根 CA 证书添加回客户端证书存储,以还原连接。
如何确保 MySQL 连接在下载 DigiCert 全局根 G2 证书后正常工作?
根证书更改后,新证书将推送到服务器。 重启服务器时,它将使用新证书。 如果遇到连接问题,请检查前面的说明是否有任何错误。
如果我未使用 SSL/TLS,我是否需要更新根证书?
否。 如果你不使用 SSL/TLS,就无需采取任何作为。
如果使用的是 SSL/TLS,是否需要重启数据库服务器来更新根证书?
否。 如果使用 SSL/TLS,则无需重启数据库服务器以开始使用新证书。
证书更新是客户端侧的更改。 传入客户端连接需要使用新证书连接到数据库服务器。
此更改是否需要我计划数据库服务器的维护停机时间?
否。 由于更改仅在客户端连接到数据库服务器,因此它不需要对数据库服务器造成任何维护停机。
根证书轮换是否有回滚计划?
如果应用程序在证书轮换后遇到问题,请根据用例重新安装组合证书或基于 SHA-2 的证书来替换证书文件。 建议您不要撤销更改,因为变更是强制性的。
Azure Database for MySQL 使用的证书是否可信?
Azure Database for MySQL 使用的证书来自受信任的证书颁发机构。 我们支持这些证书,具体取决于证书颁发机构提供的支持。
DigiCert 全局根 CA 证书使用安全性较低的 SHA-1 哈希算法。 此算法会损害连接到 Azure Database for MySQL 的应用程序的安全性。 因此,我们需要执行证书更改。
DigiCert 全局根 G2 证书是否与单服务器部署选项使用的证书相同?
是的。 DigiCert 全局根 G2 证书是 Azure Database for MySQL 的基于 SHA-2 的根证书。 单一服务器部署选项使用的证书相同。
如果我正在使用只读副本,我是否需要在源服务器和只读副本上都执行此更新?
由于此更新是客户端更改,因此需要对从副本服务器读取数据的所有客户端应用更改。
如果我正在使用数据导入复制,是否需要执行任何操作?
如果使用 数据传入复制 连接到 Azure Database for MySQL,并且数据复制位于两个 Azure Database for MySQL 数据库之间,则需要通过运行 CALL mysql.az_replication_change_master来重置副本。 提供三元双根证书作为最后一个参数 ,master_ssl_ca。
如果我的证书文件中已经包括 DigiCert Global Root G2 和 Microsoft Root Certificate Authority 2017,我是否需要采取任何措施?
否。 如果证书文件已有 DigiCert Global Root G2 证书和 Microsoft Root Certificate Authority 2017 证书,则无需执行任何操作。
如何知道是否在根证书验证中使用 SSL/TLS?
可以通过查看连接字符串来识别连接是否验证根证书:
- 如果连接字符串包含
sslmode=verify-ca或sslmode=verify-identity需要更新受信任的根证书。 - 如果连接字符串包括
sslmode=disable、sslmode=allow或sslmode=prefersslmode=require不需要更新受信任的根证书。 - 如果未指定
sslmode连接字符串,则无需更新证书。
如果使用的是抽象化连接字符串的客户端,请查看客户端的文档以了解它是否验证证书。
是否可以使用服务器端查询来验证我是否使用的是 SSL?
若要验证是否使用 SSL 连接连接到服务器,请参阅 “验证 TLS/SSL 连接”。