Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln besvarar vanliga frågor om rotcertifikatrotation.
Vad händer om jag tar bort DigiCert Global Root CA-certifikatet?
Om du tar bort certifikatet innan Microsoft roterar certifikatet misslyckas dina anslutningar. Lägg till DigiCert Global Root CA-certifikatet i klientcertifikatarkivet för att återställa anslutningen.
Hur ser jag till att MySQL-anslutningar fungerar när jag har laddat ned DigiCert Global Root G2-certifikatet?
När rotcertifikatet har ändrats skickas det nya certifikatet till dina servrar. När du startar om servern använder den det nya certifikatet. Om det uppstår anslutningsproblem kontrollerar du de föregående instruktionerna för eventuella misstag.
Behöver jag fortfarande uppdatera rotcertifikatet om jag inte använder SSL/TLS?
Nej. Du behöver inte vidta några åtgärder om du inte använder SSL/TLS.
Behöver jag starta om databasservern för att uppdatera rotcertifikatet om jag använder SSL/TLS?
Nej. Om du använder SSL/TLS behöver du inte starta om databasservern för att börja använda det nya certifikatet.
Certifikatuppdateringen är en ändring på klientsidan. Inkommande klientanslutningar måste använda det nya certifikatet för att ansluta till databasservern.
Kräver den här ändringen att jag planerar underhållsavbrott för databasservern?
Nej. Eftersom ändringen endast är på klientsidan för att ansluta till databasservern kräver den inte någon underhållsavbrottstid för databasservern.
Finns det en återställningsplan för rotcertifikatrotationen?
Om programmet får problem efter certifikatrotationen ersätter du certifikatfilen genom att installera om det kombinerade certifikatet eller DET SHA-2-baserade certifikatet, beroende på ditt användningsfall. Vi rekommenderar att du inte återställer ändringen eftersom ändringen är obligatorisk.
Är de certifikat som Azure Database for MySQL använder tillförlitliga?
De certifikat som Azure Database for MySQL använder kommer från betrodda certifikatutfärdare. Vi stöder dessa certifikat baserat på det stöd som certifikatutfärdare tillhandahåller.
DigiCert Global Root CA-certifikatet använder den mindre säkra SHA-1-hashalgoritmen. Den här algoritmen äventyrar säkerheten för program som ansluter till Azure Database for MySQL. Därför måste vi utföra en certifikatändring.
Är DigiCert Global Root G2-certifikatet samma certifikat som distributionsalternativet för enskild server använde?
Ja. DigiCert Global Root G2-certifikatet är det SHA-2-baserade rotcertifikatet för Azure Database for MySQL. Det är samma certifikat som distributionsalternativet för enskild server använde.
Om jag använder skrivskyddade repliker behöver jag bara utföra den här uppdateringen på källservern eller även på skrivskyddade repliker?
Eftersom den här uppdateringen är en ändring på klientsidan måste du tillämpa ändringarna för alla klienter som läser data från replikservern.
Behöver jag utföra någon åtgärd om jag använder data-in-replikering?
Om du använder datareplikering för att ansluta till Azure Database for MySQL och datareplikeringen är mellan två Azure Database for MySQL-databaser måste du återställa repliken genom att köra CALL mysql.az_replication_change_master. Ange trippelcertifikatet med dubbla rotar som den sista parametern master_ssl_ca.
Behöver jag vidta några åtgärder om jag redan har DigiCert Global Root G2 och Microsoft Root Certificate Authority 2017 i min certifikatfil?
Nej. Du behöver inte vidta några åtgärder om certifikatfilen redan har certifikatet DigiCert Global Root G2 och certifikatet Microsoft Root Certificate Authority 2017 .
Hur gör jag för att vet om jag använder SSL/TLS med rotcertifikatverifiering?
Du kan identifiera om dina anslutningar verifierar rotcertifikatet genom att granska anslutningssträngen:
- Om anslutningssträngen innehåller
sslmode=verify-caellersslmode=verify-identitymåste du uppdatera de betrodda rotcertifikaten. - Om anslutningssträngen innehåller
sslmode=disable,sslmode=allow,sslmode=preferellersslmode=require, behöver du inte uppdatera de betrodda rotcertifikaten. - Om anslutningssträngen inte anger
sslmodebehöver du inte uppdatera certifikaten.
Om du använder en klient som abstraherar anslutningssträng bort läser du klientens dokumentation för att förstå om den verifierar certifikat.
Kan jag använda en fråga på serversidan för att kontrollera om jag använder SSL?
Information om hur du kontrollerar om du använder en SSL-anslutning för att ansluta till servern finns i Verifiera TLS/SSL-anslutningen.
Vad händer om jag har fler frågor?
Om du fortfarande har frågor kan du få svar från communityexperter i Microsoft Q&A.