Partager via

Rotation des certificats racines pour Azure Database pour MySQL

Pour maintenir nos normes de sécurité et de conformité, nous commençons à modifier les certificats racines pour le serveur flexible Azure Database pour MySQL après le 1er septembre 2025.

L'autorité de certification certificat actuelle DigiCert Global Root CA est remplacée par deux nouveaux certificats racine :

  • DigiCert Global Root G2
  • Microsoft RSA Root Certificate Authority 2017

Si vous utilisez le protocole TLS (Transport Layer Security) avec la vérification du certificat racine, vous devez avoir installé les trois certificats racines pendant la période de transition. Une fois tous les certificats modifiés, vous pouvez supprimer l'ancien certificat racine SHA-1 DigiCert Global Root CA du magasin. Si vous n’ajoutez pas les nouveaux certificats avant le 1er septembre 2025, vos connexions aux bases de données échouent.

Cet article fournit des instructions sur l’ajout des deux nouveaux certificats racines et des réponses aux questions fréquemment posées.

Note

Si l’utilisation continue de SHA-1 est un bloqueur et que vous souhaitez que vos certificats soient modifiés avant le déploiement général, suivez les instructions de cet article pour créer un certificat d’autorité de certification combinée sur le client. Ouvrez ensuite une demande de support pour faire pivoter votre certificat pour Azure Database pour MySQL.

Pourquoi une mise à jour du certificat racine est-elle nécessaire ?

Les utilisateurs Azure Database pour MySQL peuvent uniquement utiliser le certificat prédéfini pour se connecter à leurs instances de serveur MySQL. Ces certificats sont signés par une autorité de certification racine. Le certificat actuel est signé par l’autorité de certification racine globale DigiCert. Il utilise SHA-1. L’algorithme de hachage SHA-1 est considérablement non sécurisé, en raison de vulnérabilités découvertes. Elle n’est plus conforme à nos normes de sécurité.

Nous devons remplacer le certificat par un certificat signé par une autorité racine de certification conforme pour corriger le problème.

Comment mettre à jour le répertoire des certificats racine sur votre machine cliente

Pour vous assurer que vos applications peuvent se connecter à Azure Database pour MySQL après la rotation du certificat racine, mettez à jour le magasin de certificats racine sur votre client. Mettez à jour le magasin de certificats racine si vous utilisez SSL/TLS avec la vérification du certificat racine.

Les étapes suivantes vous guident tout au long du processus de mise à jour du magasin de certificats racine sur votre client :

  1. Téléchargez les trois certificats racine. Si vous avez installé le certificat DigiCert Global Root CA, vous pouvez ignorer le premier téléchargement :

  2. Téléchargez le certificat de l'autorité de certification racine mondiale DigiCert.

  3. Téléchargez le certificat DigiCert Global Root G2.

  4. Téléchargez le certificat Microsoft RSA Root Certificate Authority 2017.

  5. Ajoutez les certificats téléchargés à votre magasin de certificats client. Le processus varie en fonction du type de client.

Mettre à jour votre client Java

Suivez ces étapes pour mettre à jour vos certificats clients Java pour la rotation des certificats racines.

Création d’un magasin de certificats racine approuvés

Pour les utilisateurs Java , exécutez ces commandes pour créer unmagasin de certificats racine approuvé :

keytool -importcert -alias MySqlFlexServerCACert  -file digiCertGlobalRootCA.crt.pem  -keystore truststore -storepass password -noprompt
keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Remplacez ensuite le fichier de magasin de clés d’origine par le nouveau fichier généré :

  • System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
  • System.setProperty("javax.net.ssl.trustStorePassword","password");

Mettre à jour un magasin de certificats racine approuvé existant

Pour les utilisateurs Java, exécutez ces commandes pour ajouter les nouveaux certificats racines approuvés à un magasin de certificats racine approuvé existant :

keytool -importcert -alias MySqlFlexServerCACert2  -file digiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt
keytool -importcert -alias MicrosoftRSARootCert2017  -file MicrosoftRSARootCertificateAuthority2017.crt -keystore truststore -storepass password -noprompt

Si vous mettez à jour un magasin de clés existant, vous n’avez pas besoin de modifier les propriétés javax.net.ssl.trustStore et javax.net.ssl.trustStorePassword.

Mettre à jour votre client .NET

Suivez ces étapes pour mettre à jour vos certificats clients .NET pour la rotation des certificats racines.

.NET sur Windows

Pour les utilisateurs .NET sur Windows, assurez-vous que DigiCert Global Root CA, DigiCert Global Root G2 et Microsoft RSA Root Certificate Authority 2017 existent dans le magasin de certificats Windows sous autorités de certification racines approuvées. Si aucun certificat n’existe, importez-le.

Capture d’écran des certificats .NET Azure Database pour MySQL.

.NET sur Linux

Pour les utilisateurs .NET sur Linux qui utilisent SSL_CERT_DIR, assurez-vous que DigiCertGlobalRootCA.crt.pem, DigiCertGlobalRootG2.crt.pemet Microsoft RSA Root Certificate Authority 2017.crt.pem existent dans le répertoire indiqué par SSL_CERT_DIR. Si aucun certificat n’existe, créez le fichier de certificat manquant.

Convertissez le Microsoft RSA Root Certificate Authority 2017.crt certificat au format PEM en exécutant la commande suivante :

openssl x509 -inform der -in MicrosoftRSARootCertificateAuthority2017.crt -out MicrosoftRSARootCertificateAuthority2017.crt.pem

Autres clients

Pour les autres utilisateurs qui utilisent d’autres clients, vous devez créer un fichier de certificat combiné qui contient les trois certificats racines.

Autres clients tels que :

  • MySQL Workbench
  • C# ou C
  • Allez
  • Python
  • Ruby
  • PHP
  • Node.js
  • Perl
  • Swift

Étapes

  1. Créer un fichier texte et l’enregistrer sous combined-ca-certificates.pem
  2. Copiez et collez le contenu des trois fichiers de certificat dans ce fichier unique au format suivant :
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Content from MicrosoftRSARootCertificateAuthority2017.crt.pem)
-----END CERTIFICATE-----

Réplication des données entrantes MySQL

Pour la réplication de données dans laquelle le principal et le réplica sont hébergés sur Azure, vous pouvez fusionner les fichiers de certificat d'AC dans le format suivant :

SET @cert = '-----BEGIN CERTIFICATE-----
(Root CA1:DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: DigiCertGlobalRootG2.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA3: .crt.pem)
-----END CERTIFICATE-----'

Appelez mysql.az_replication_change_master comme suit :

CALL mysql.az_replication_change_master('master.companya.com', 'syncuser', 'P@ssword!', 3306, 'mysql-bin.000002', 120, @cert);

Important

Redémarrez votre serveur réplica.

Contenu connexe

  • Last updated on