Azure Database for MySQL 中的传输层安全性 （TLS）

Azure Database for MySQL 要求所有客户端连接都使用传输层安全性（TLS），这是一种行业标准协议，用于加密数据库服务器和客户端应用程序之间的通信。 TLS 取代了较旧的 SSL 协议，只有 TLS 版本 1.2 和 1.3 才被识别为安全。 TLS 安全性的完整性依赖于三大支柱：

• 仅使用 TLS 版本 1.2 或 1.3。
• 客户端会验证服务器的 TLS 证书，该证书由证书颁发机构（CA）签发，并且位于以受信任根 CA 为起点的 CA 链中。
• 在服务器和客户端之间协商安全密码套件。

Azure Database for MySQL 灵活服务器中的 TLS 配置

Azure Database for MySQL 灵活服务器支持使用安全套接字层 (SSL) 和传输层安全性 (TLS) 加密将客户端应用程序连接到 Azure Database for MySQL 灵活服务器实例。 TLS 是一种行业标准协议，可确保在数据库服务器与客户端应用程序之间实现加密的网络连接，使你能够满足合规性要求。

默认情况下，Azure Database for MySQL 灵活服务器支持使用传输层安全性 (TLS 1.2) 的加密连接，并且拒绝所有使用 TLS 1.0 和 TLS 1.1 的传入连接。 可以配置和更改灵活服务器上的加密连接强制要求或 TLS 版本配置。

下面是适用于灵活服务器的 SSL 和 TLS 设置的不同配置：

查看使用 SSL/TLS 的连接，以了解如何识别 TLS 版本。

受信任的根证书和证书轮换

Azure Database for MySQL 使用的根 CA

根证书颁发机构 (Root CAs) 是证书链中的顶级颁发机构。 Azure Database for MySQL 目前使用由以下根证书锚定的 ICA 签发的双签名证书：

• DigiCert 全局根 G2
• Microsoft RSA Root CA 2017

中国地区目前使用以下证书颁发机构：

• Microsoft RSA Root CA 2017
• DigiCert 全局根 CA
• 春节后（农历新年）2026年：Digicert Global Root G2。 建议提前为此更改做好准备，将新的根 CA 添加到受信任的根证书存储中。

关于中级证书颁发机构

Azure Database for MySQL 使用中间 CA（ICA）颁发服务器证书。 Microsoft定期轮换这些 ICA 及其颁发的服务器证书，以维护安全性。 这些轮换是例行公事，不会提前宣布。

2025 年 11 月，DigiCert Global Root G2 的中间证书颁发机构的轮换开始（见 证书轮换），计划于 2026 年第 1 季度完成，届时将更换中间证书颁发机构，如下所示。 如果你遵循建议的做法，那么此更改不需要对你的环境进行任何调整。

旧 CA 链

此信息仅供参考。 不要在受信任的根存储中使用中间 CA 或服务器证书。

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
    • 服务器证书

新的 CA 链

此信息仅供参考。 不要在受信任的根存储中使用中间 CA 或服务器证书。

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
    • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
      • 服务器证书

证书链

证书链是受信任的证书颁发机构（CA）颁发的证书的分层序列，从根 CA 开始，颁发中间 CA （ICA） 证书。 ICA 可能会为下级 ICA 颁发证书。 链中最低的 ICA 颁发单个服务器证书。 信任链的建立，是通过验证从链中的每个证书到根证书颁发机构（CA）证书来实现的。

减少连接失败

使用建议的 TLS 配置有助于降低由于证书轮换或更改中间 CA 而导致连接失败的风险。 具体而言，请避免信任中间 CA 或单个服务器证书，因为这些做法可能会导致Microsoft更新证书链时出现意外的连接问题。

TLS 的建议配置

最佳配置

• 通过设置 require_secure_transport = ON 和 tls_version = TLS 1.3 来强制实施最新的、最安全的 TLS 版本。
• 使用来自客户端应用程序的完整验证（设置因客户端而异）。
• 始终在 受信任的根存储中维护完整的 Azure 根证书集。

配置良好

• 设置require_secure_transport = ON和tls_version = TLS 1.3。 如果必须支持 TLS 1.2，请不要设置tls_version。
• 使用来自客户端应用程序的完整验证（这因客户端而异）。
• 确保受信任的根存储包含 Azure Database for MySQL 当前使用的根 CA 证书：
  • DigiCert 全局根 G2
  • Microsoft RSA Root CA 2017

支持，不建议

我们强烈建议不要将require_secure_transport设置为OFF来完全禁用 TLS

不支持的配置;请勿使用

Azure MySQL 不会公布有关中间 CA 更改或单个服务器证书轮换的更改;因此，不支持以下配置：

• 在受信任的证书存储中使用了中间 CA 证书。
• 使用了证书固定，例如在受信任的证书存储中使用单个服务器证书。

TLS 的其他注意事项

不安全和安全的 TLS 版本

全球多个政府实体均制定了有关网络安全的 TLS 准则。 在美国，这些组织包括卫生与公众服务部以及国家标准与技术研究所。 TLS 提供的安全级别受 TLS 协议版本和受支持的密码套件的影响最大。

Azure Database for MySQL 支持 TLS 版本 1.2 和 1.3。 在 RFC 8996 中，Internet 工程工作队（IETF）明确指出不得使用 TLS 1.0 和 TLS 1.1。 这两种协议在 2019 年底被弃用。 默认情况下，使用早期不安全版本的 TLS 协议（如 TLS 1.0 和 TLS 1.1）的所有传入连接均被拒绝。

IETF 于 2018 年 8 月在 RFC 8446 中发布了 TLS 1.3 规范，TLS 1.3 是推荐的版本，因为它比 TLS 1.2 更快、更安全。

尽管我们不建议使用，但如果需要，可以禁用 TLS 以连接到 Azure Database for MySQL。 可以将 require_secure_transport 服务器参数更新为 OFF。

密码套件

密码套件是一组算法，其中包括密码、密钥交换算法和哈希算法。 它们与 TLS 证书和 TLS 版本一起使用，以建立安全的 TLS 连接。 大多数 TLS 客户端和服务器都支持多个密码套件，有时支持多个 TLS 版本。 在建立连接期间，客户端和服务器 会协商 TLS 版本和密码套件，以便通过握手使用。 在此握手期间，将发生以下情况：

• 客户端发送可接受的密码套件列表。
• 服务器从列表中选择一个（根据自己的定义）最佳加密套件，并通知客户端这个选择。

Azure Database for MySQL 中不可用的 TLS 功能

目前，Azure Database for MySQL 不实现以下 TLS 功能：

• 基于 TLS 证书的客户端身份验证（通过 TLS 双向身份验证 mTLS）。
• 自定义服务器证书（自带 TLS 证书）。

相关内容

• 使用加密连接连接到 Azure Database for MySQL – 灵活服务器
• Azure Database for MySQL 的根证书轮换
• Azure Database for MySQL 证书轮换的常见问题