SSL/TLS-anslutning i Azure Database for MariaDB
Viktigt!
Azure Database for MariaDB är på väg att dras tillbaka. Vi rekommenderar starkt att du migrerar till Azure Database for MySQL. Mer information om hur du migrerar till Azure Database for MySQL finns i Vad händer med Azure Database for MariaDB?.
Azure Database for MariaDB stöder anslutning av databasservern till klientprogram med hjälp av SSL (Secure Sockets Layer). Framtvingande av SSL-anslutningar mellan databasservern och klientprogrammen hjälper till att skydda mot ”man in the middle”-attacker genom att kryptera dataströmmen mellan servern och programmet.
Kommentar
Baserat på feedback från kunder har vi utökat rotcertifikatutfasningen för vår befintliga Baltimore Root CA till den 15 februari 2021 (2021-02-15).
Viktigt!
SSL-rotcertifikatet är inställt på att upphöra att gälla från och med den 15 februari 2021 (2021-02-15). Uppdatera programmet så att det nya certifikatet används. Mer information finns i planerade certifikatuppdateringar
Standardinställningar
Som standard bör databastjänsten konfigureras för att kräva SSL-anslutningar vid anslutning till MariaDB. Vi rekommenderar att du undviker att inaktivera SSL-alternativet när det är möjligt.
När du etablerar en ny Azure Database for MariaDB-server via Azure-portalen och CLI aktiveras SSL-anslutningar som standard.
I vissa fall kräver program att en lokal certifikatfil som genereras från en certifikatfil för betrodd certifikatutfärdare (CA) ansluter på ett säkert sätt. För närvarande kan kunder bara använda det fördefinierade certifikatet för att ansluta till en Azure Database for MariaDB-server som finns på https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
På samma sätt pekar följande länkar på certifikaten för servrar i nationella moln: Azure Government, Microsoft Azure som drivs av 21Vianet och Azure Tyskland.
Anslut ionssträngar för olika programmeringsspråk visas i Azure-portalen. Dessa anslutningssträng innehåller de SSL-parametrar som krävs för att ansluta till databasen. I Azure-portalen väljer du din server. Under rubriken Inställningar väljer du Anslut ionssträngarna. SSL-parametern varierar beroende på anslutningsappen, till exempel "ssl=true" eller "sslmode=require" eller "sslmode=required" och andra varianter.
Information om hur du aktiverar eller inaktiverar SSL-anslutning när du utvecklar programmet finns i Konfigurera SSL.
TLS-tillämpning i Azure Database for MariaDB
Azure Database for MariaDB stöder kryptering för klienter som ansluter till databasservern med hjälp av Transport Layer Security (TLS). TLS är ett branschstandardprotokoll som säkerställer säkra nätverksanslutningar mellan databasservern och klientprogrammen, så att du kan följa efterlevnadskraven.
TLS-inställningar
Azure Database for MariaDB ger möjlighet att framtvinga TLS-versionen för klientanslutningarna. Använd alternativinställningen Lägsta TLS-version för att framtvinga TLS-versionen. Följande värden tillåts för den här alternativinställningen:
| Minsta TLS-inställning | Klient-TLS-version stöds |
|---|---|
| TLSEnforcementDisabled (standard) | Ingen TLS krävs |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 och senare |
| TLS1_1 | TLS 1.1, TLS 1.2 och senare |
| TLS1_2 | TLS version 1.2 och senare |
Om du till exempel anger värdet för Lägsta TLS-inställningsversion till TLS 1.0 innebär det att servern tillåter anslutningar från klienter med TLS 1.0, 1.1 och 1.2+. Om du anger 1.2 innebär det också att du endast tillåter anslutningar från klienter som använder TLS 1.2+ och att alla anslutningar med TLS 1.0 och TLS 1.1 avvisas.
Kommentar
Azure Database for MariaDB tillämpar som standard inte en lägsta TLS-version (inställningen TLSEnforcementDisabled).
När du har tillämpat en lägsta TLS-version kan du inte senare inaktivera lägsta versionskontroll.
Mer information om hur du ställer in TLS-inställningen för din Azure Database for MariaDB finns i Konfigurera TLS-inställning.
Chifferstöd från Azure Database for MariaDB
Som en del av SSL/TLS-kommunikationen verifieras chiffersviterna och stöder endast chifferdräkter som kan kommunicera med databasservern. Valideringen av chiffersviten styrs i gatewaylagret och inte explicit på själva noden. Om chiffersviterna inte matchar någon av sviterna nedan avvisas inkommande klientanslutningar.
Chiffersvit som stöds
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Nästa steg
- Läs mer om brandväggsregler för servern
- Lär dig hur du konfigurerar SSL
- Lär dig hur du konfigurerar TLS