Основные сведения об изменениях корневого центра сертификации для Базы данных SQL Azure и Управляемого экземпляра SQL
База данных SQL Azure & Управляемый экземпляр SQL будет изменять корневой сертификат для клиентского приложения или драйвера, включенного с помощью протокола SSL или TLS, используемого для установления безопасного подключения TDS. Срок действия текущего корневого сертификата истекает 26 октября 2020 г. в рамках стандартных рекомендаций по обслуживанию и обеспечению безопасности. В этой статье приводятся дополнительные сведения о предстоящих изменениях, ресурсах, которые будут затронуты и действиях, которые необходимо выполнить, чтобы обеспечить подключение приложения к серверу базы данных.
Какое обновление будет выполнено?
На форуме по браузерам и центрам сертификации (ЦС) недавно были опубликованы отчеты по нескольким сертификатам, выданным поставщиками ЦС, которые не соответствуют требованиям.
Согласно отраслевым требованиям к соответствию поставщики ЦС начали отменять сертификаты ЦС несоответствующих центров сертификации, требовать, чтобы серверы использовали сертификаты, выпущенные соответствующими центрами сертификации и подписанные сертификатами ЦС из соответствующих центров сертификации. Так как в настоящее время База данных SQL Azure и Управляемый экземпляр SQL используют один из этих несоответствующих сертификатов, которые клиентские приложения используют для проверки подключений TLS, необходимо убедиться, что необходимые действия выполняются (описаны ниже), чтобы свести к минимуму потенциальное влияние на серверы SQL Azure.
Новый сертификат будет использоваться начиная с 26 октября 2020 г. Если вы используете полную проверку сертификата сервера при подключении из клиента SQL (TrustServerCertificate=false), необходимо убедиться, что клиент SQL сможет проверить новый корневой сертификат до 26 октября 2020 г.
Как узнать, может ли это повлиять на мое приложение?
Все приложения, использующие SSL/TLS и проверяющие корневой сертификат, должны обновить корневой сертификат, чтобы подключиться к База данных SQL Azure и Управляемый экземпляр SQL Azure.
Если в настоящее время вы не используете протокол SSL/TLS, то нет влияния на доступность приложения. Можно проверить, пытается ли клиентское приложение проверить корневой сертификат, просмотрев строку подключения. Если TrustServerCertificate явно задано значение true, то вы не пострадали.
Если ваш клиентский драйвер использует хранилище сертификатов ОС, как и большинство драйверов, а операционная система регулярно обслуживается, это изменение скорее всего не повлияет на ваше приложение, поскольку корневой сертификат, на который мы переходим, уже должен быть доступен в вашем Хранилище доверенных корневых сертификатов. Проверьте наличие корня Baltimore CyberTrust и DigiCert GlobalRoot G2 и проверьте его наличие.
Если драйвер клиента использует локальное хранилище сертификатов файлов, чтобы избежать прерывания доступности приложения из-за неожиданного отзыва сертификатов или обновления сертификата, который был отменен, см . раздел "Что нужно сделать для поддержания подключения".
Какие действия нужно выполнить для поддержания подключения
Чтобы избежать прерывания доступности приложения из-за неожиданного отзыва сертификатов или обновления сертификата, который был отменен, выполните следующие действия.
Скачайте Root Baltimore CyberTrust и DigiCert GlobalRoot G2 Root CA:
Создайте объединенное хранилище сертификатов ЦС с сертификатами BaltimoreCyberTrustRoot и DigiCertGlobalRootG2.
Каковы могут быть последствия?
Если вы проверяете сертификаты сервера, как описано здесь, доступность приложения может быть прервана, так как база данных не будет доступной. В зависимости от приложения можно получать различные сообщения об ошибках, включая не только следующие:
- Недопустимый сертификат или сертификат отменен
- Время ожидания подключения истекло
- Ошибка, если применимо
Часто задаваемые вопросы
Если я не использую протокол SSL или TLS, необходимо ли мне все равно обновить корневой ЦС?
Если вы не используете ПРОТОКОЛ SSL/TLS, никаких действий в отношении этого изменения не требуется. Тем не менее, вам следует наметить план по началу использования последней версии TLS, поскольку мы планируем принудительное применение TLS в ближайшем будущем.
Что произойдет, если я не обновляю корневой сертификат до 26 октября 2020 г.?
Если вы не обновляете корневой сертификат до 30 ноября 2020 г., ваши приложения, которые подключаются через SSL/TLS и не будут выполнять проверку корневого сертификата, не смогут взаимодействовать с База данных SQL Azure и Управляемый экземпляр SQL, а приложение будет испытывать проблемы с подключением к вашему База данных SQL Azure & Управляемый экземпляр SQL.
Нужно ли мне запланировать время простоя из-за обслуживания для внесения этого изменения?
№ Так как изменение находится только на стороне клиента для подключения к серверу, время простоя обслуживания не требуется для этого изменения.
Что делать, если я не могу получить запланированное время простоя для этого изменения до 26 октября 2020 г.?
Так как клиенты, используемые для подключения к серверу, должны обновлять сведения о сертификате, как описано в разделе исправления, нам не нужно простоя сервера в этом случае.
Если я создам новый сервер после 30 ноября 2020 г., повлияет ли на него это изменение?
Для серверов, созданных после 26 октября 2020 г., можно использовать только что выданный сертификат для приложений для подключения с помощью SSL/TLS.
Как часто корпорация Майкрософт обновляет свои сертификаты и какова политика срока действия?
Эти сертификаты, используемые Базой данных Azure и Управляемым экземпляром SQL, предоставляются доверенными Центрами сертификации (ЦС). Таким образом, поддержка этих сертификатов в Базе данных SQL Azure и Управляемом экземпляре SQL связана с поддержкой этих сертификатов центром сертификации. Однако, как и в этом случае, в этих предопределенных сертификатах могут быть непредвиденные ошибки, которые необходимо исправить как можно раньше.
Если я использую реплики чтения, нужно ли выполнить это обновление только на главном сервере или также на всех репликах чтения?
Так как это обновление является изменением на стороне клиента, если клиент использовался для чтения данных с сервера реплика, нам также потребуется применить изменения для этих клиентов.
У нас есть серверный запрос, чтобы проверить, используется ли протокол SSL/TLS?
Поскольку эта настройка выполняется на стороне клиента, сведения на стороне сервера недоступны.
Что делать, если у меня возникнут дополнительные вопросы?
Если у вас есть план поддержки и вам нужна техническая помощь, создайте запрос на поддержку Azure. Дополнительные сведения о создании запроса на поддержку см. здесь.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по