Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répond aux questions courantes sur la rotation des certificats racines.
Que se passe-t-il si je supprime le certificat d’autorité de certification racine globale DigiCert ?
Si vous supprimez le certificat avant que Microsoft effectue la rotation du certificat, vos connexions échouent. Ajoutez le certificat DigiCert Global Root CA à votre magasin de certificats client pour restaurer la connectivité.
Comment puis-je vérifier que les connexions MySQL fonctionnent après avoir téléchargé le certificat DigiCert Global Root G2 ?
Une fois le certificat racine modifié, le nouveau certificat est envoyé (push) à vos serveurs. Lorsque vous redémarrez votre serveur, il utilise le nouveau certificat. Si vous rencontrez des problèmes de connectivité, consultez les instructions précédentes pour connaître les erreurs.
Si je n’utilise pas SSL/TLS, dois-je toujours mettre à jour le certificat racine ?
Non. Vous n’avez pas besoin d’effectuer d’action si vous n’utilisez pas SSL/TLS.
Si j’utilise SSL/TLS, dois-je redémarrer mon serveur de base de données pour mettre à jour le certificat racine ?
Non. Si vous utilisez SSL/TLS, vous n’avez pas besoin de redémarrer le serveur de base de données pour commencer à utiliser le nouveau certificat.
La mise à jour du certificat est une modification côté client. Les connexions clientes entrantes doivent utiliser le nouveau certificat pour se connecter au serveur de base de données.
Cette modification me demande-t-elle de planifier le temps d’arrêt de maintenance pour le serveur de base de données ?
Non. Étant donné que la modification est uniquement côté client pour se connecter au serveur de base de données, elle ne nécessite aucun temps d’arrêt de maintenance pour le serveur de base de données.
Existe-t-il un plan de restauration pour la rotation du certificat racine ?
Si votre application rencontre des problèmes après la rotation du certificat, remplacez le fichier de certificat en réinstallant le certificat combiné ou le certificat SHA-2, en fonction de votre cas d’usage. Il est recommandé de ne pas annuler la modification, car elle est obligatoire.
Les certificats qu’Azure Database pour MySQL utilisent-ils dignes de confiance ?
Les certificats qu’Utilise Azure Database pour MySQL proviennent des autorités de certification approuvées. Nous prenons en charge ces certificats en fonction du support fourni par l’autorité de certification.
Le certificat d’autorité de certification racine globale DigiCert utilise l’algorithme de hachage SHA-1 moins sécurisé. Cet algorithme compromet la sécurité des applications qui se connectent à Azure Database pour MySQL. Pour cette raison, nous devons effectuer une modification de certificat.
Le certificat DigiCert Global Root G2 est-il le même certificat que l’option de déploiement serveur unique utilisée ?
Oui. Le certificat DigiCert Global Root G2 est le certificat racine basé sur SHA-2 pour Azure Database pour MySQL. Il s’agit du même certificat que l’option de déploiement serveur unique utilisée.
Si j’utilise des réplicas en lecture, dois-je effectuer cette mise à jour uniquement sur le serveur source ou également sur les réplicas en lecture ?
Étant donné que cette mise à jour est une modification côté client, vous devez appliquer les modifications pour tous les clients qui lisent les données à partir du serveur réplica.
Si j’utilise la réplication de données entrantes, dois-je effectuer une action ?
Si vous utilisez la réplication de données entrantes pour vous connecter à Azure Database pour MySQL et que la réplication des données se trouve entre deux bases de données Azure Database pour MySQL, vous devez réinitialiser le réplica en exécutant CALL mysql.az_replication_change_master. Fournissez le certificat double racine triple comme dernier paramètre , master_ssl_ca.
Dois-je prendre des mesures si j’ai DigiCert Global Root G2 déjà et Microsoft Root Certificate Authority 2017 dans mon fichier de certificat ?
Non. Vous n’avez pas besoin d’effectuer d’action si votre fichier de certificat possède déjà le DigiCert Global Root G2 certificat et le Microsoft Root Certificate Authority 2017 certificat.
Comment savoir si j’utilise SSL/TLS avec la vérification du certificat racine ?
Vous pouvez identifier si vos connexions vérifient le certificat racine en examinant votre chaîne de connexion :
- Si votre chaîne de connexion inclut
sslmode=verify-caousslmode=verify-identity, vous devez mettre à jour les certificats racines approuvés. - Si votre chaîne de connexion inclut
sslmode=disable,sslmode=allow,sslmode=preferousslmode=require, vous n’avez pas besoin de mettre à jour les certificats racines approuvés. - Si votre chaîne de connexion ne spécifie
sslmodepas, vous n’avez pas besoin de mettre à jour les certificats.
Si vous utilisez un client qui abstrait la chaîne de connexion, consultez la documentation du client pour savoir s’il vérifie les certificats.
Puis-je utiliser une requête côté serveur pour vérifier si j’utilise SSL ?
Pour vérifier si vous utilisez une connexion SSL pour vous connecter au serveur, consultez Vérifier la connexion TLS/SSL.
Que faire en cas de questions supplémentaires ?
Si vous avez toujours des questions, vous pouvez obtenir des réponses des experts de la communauté dans Microsoft Q&A.