Azure SQL Veritabanı ve SQL Yönetilen Örneği için Kök CA değişikliğindeki değişiklikleri anlama

  • Makale

Azure SQL Veritabanı & SQL Yönetilen Örneği, güvenli TDS bağlantısı kurmak için kullanılan Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) ile etkinleştirilen istemci uygulaması/sürücüsü için kök sertifikayı değiştirecek. Geçerli kök sertifikanın süresi, standart bakım ve güvenlik en iyi yöntemleri kapsamında 26 Ekim 2020'de sona erecek şekilde ayarlanmıştır. Bu makalede, yaklaşan değişiklikler, etkilenecek kaynaklar ve uygulamanızın veritabanı sunucunuzla bağlantıyı sürdürmesini sağlamak için gereken adımlar hakkında daha fazla ayrıntı sağlanır.

Hangi güncelleştirme olacak?

Sertifika Yetkilisi (CA) Tarayıcı forumu yakın zamanda CA satıcıları tarafından uyumsuz olarak verilen birden çok sertifikanın raporlarını yayımladı.

Endüstrinin uyumluluk gereksinimlerine göre, CA satıcıları uyumlu olmayan CA'lar için CA sertifikalarını iptal etmeye başladı, sunucuların uyumlu CA'lar tarafından verilen ve bu uyumlu CA'lardan CA sertifikaları tarafından imzalanan sertifikaları kullanmasını gerektirerek. Azure SQL Veritabanı ve SQL Yönetilen Örneği şu anda istemci uygulamalarının TLS bağlantılarını doğrulamak için kullandığı bu uyumlu olmayan sertifikalardan birini kullandığından, Azure SQL sunucularınıza olası etkiyi en aza indirmek için uygun eylemlerin gerçekleştirildiğinden (aşağıda açıklanmıştır) emin olmamız gerekir.

Yeni sertifika 26 Ekim 2020'den itibaren kullanılacaktır. BIR SQL istemcisinden (TrustServerCertificate=false) bağlanırken sunucu sertifikasının tam doğrulamasını kullanıyorsanız, SQL istemcinizin 26 Ekim 2020'den önce yeni kök sertifikayı doğrulayabildiğinden emin olmanız gerekir.

Uygulamamın etkilenip etkilenmeyebileceğini Nasıl yaparım? biliyor musunuz?

SSL/TLS kullanan ve kök sertifikayı doğrulayan tüm uygulamaların Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği bağlanmak için kök sertifikayı güncelleştirmeleri gerekir.

Şu anda SSL/TLS kullanmıyorsanız, uygulamanızın kullanılabilirliğini etkilemez. bağlantı dizesi bakarak istemci uygulamanızın kök sertifikayı doğrulamaya çalıştığını doğrulayabilirsiniz. TrustServerCertificate açıkça true olarak ayarlandıysa, bundan etkilenmezsiniz.

İstemci sürücünüz çoğu sürücüde olduğu gibi işletim sistemi sertifika deposu kullanıyorsa ve işletim sisteminiz düzenli olarak korunduysa, geçiş yaptığımız kök sertifika Güvenilir Kök Sertifika Deponuzda zaten kullanılabilir olduğundan bu değişiklik sizi etkilemez. Baltimore CyberTrust Kökünü ve DigiCert GlobalRoot G2 Kökünü denetleyin ve mevcut olduğunu doğrulayın.

İstemci sürücünüz yerel dosya sertifika deposunu kullanıyorsa, sertifikalar beklenmedik şekilde iptal edildiği için uygulamanızın kullanılabilirliğinin kesintiye uğramasını önlemek veya iptal edilmiş bir sertifikayı güncelleştirmek için Bağlantıyı korumak için ne yapmam gerekiyor bölümüne bakın.

Bağlantıyı korumak için ne yapmam gerekiyor?

Sertifikalar beklenmedik şekilde iptal edildiği için uygulamanızın kullanılabilirliğinin kesintiye uğramasını önlemek veya iptal edilmiş bir sertifikayı güncelleştirmek için şu adımları izleyin:

Etkisi ne olabilir?

Burada belgelendiği gibi sunucu sertifikalarını doğrularsanız, veritabanına ulaşılamayacağı için uygulamanızın kullanılabilirliği kesintiye uğrayabilir. Uygulamanıza bağlı olarak, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli hata iletileri alabilirsiniz:

  • Geçersiz sertifika/iptal edilen sertifika
  • Bağlantı zaman aşımına uğradı
  • Varsa hata

Sık sorulan sorular

SSL/TLS kullanmıyorsam kök CA'yı güncelleştirmem gerekiyor mu?

SSL/TLS kullanmıyorsanız bu değişiklikle ilgili hiçbir eylem gerekmez. Yine de yakın gelecekte TLS uygulamasını planladığımız için en son TLS sürümünü kullanmaya başlamak için bir plan ayarlamalısınız.

Kök sertifikayı 26 Ekim 2020'ye kadar güncelleştirmezsem ne olur?

Kök sertifikayı 30 Kasım 2020'den önce güncelleştirmezseniz, SSL/TLS aracılığıyla bağlanan ve kök sertifika için doğrulama işlemi yapabilen uygulamalarınız Azure SQL Veritabanı ve SQL Yönetilen Örneği ile iletişim kuramaz ve uygulama Azure SQL Veritabanı bağlantı sorunlarıyla karşılaşır &SQL Yönetilen Örneği.

Bu değişiklik için bakım kapalı kalma süresini planlamam gerekiyor mu?

Hayır. Değişiklik yalnızca sunucuya bağlanmak için istemci tarafında olduğundan, bu değişiklik için burada bakım kapalı kalma süresi gerekmez.

26 Ekim 2020'ye kadar bu değişiklik için zamanlanmış kapalı kalma süresi alamazsam ne olur?

Sunucuya bağlanmak için kullanılan istemcilerin buradaki düzeltme bölümünde açıklandığı gibi sertifika bilgilerini güncelleştirmeleri gerektiğinden, bu durumda sunucu için kapalı kalma süresine gerek yoktur.

30 Kasım 2020'den sonra yeni bir sunucu oluşturursam etkilenecek miyim?

26 Ekim 2020'de oluşturulan sunucular için, ssl/TLS kullanarak bağlanmak üzere uygulamalarınız için yeni verilen sertifikayı kullanabilirsiniz.

Microsoft sertifikalarını ne sıklıkta güncelleştirir veya süre sonu ilkesi nedir?

Azure SQL Veritabanı & SQL Yönetilen Örneği tarafından kullanılan bu sertifikalar güvenilen Sertifika Yetkilileri (CA) tarafından sağlanır. Bu nedenle Azure SQL Veritabanı ve SQL Yönetilen Örneği'de bu sertifikaların desteği CA tarafından bu sertifikaların desteğine bağlıdır. Ancak, bu durumda olduğu gibi, bu önceden tanımlanmış sertifikalarda en erken düzeltilmesi gereken öngörülemeyen hatalar olabilir.

Okuma amaçlı çoğaltmalar kullanıyorsam, bu güncelleştirmeyi yalnızca birincil sunucuda mı yoksa tüm okuma amaçlı çoğaltmalarda mı gerçekleştirmem gerekir?

Bu güncelleştirme bir istemci tarafı değişikliği olduğundan, istemci çoğaltma sunucusundan verileri okurken kullandıysa, bu istemciler için de değişiklikleri uygulamamız gerekir.

SSL/TLS'nin kullanılıp kullanılmadığını doğrulamak için sunucu tarafı sorgumuz var mı?

Bu yapılandırma istemci tarafında olduğundan, bilgiler sunucu tarafında kullanılamaz.

Başka sorularım varsa ne olur?

Destek planınız varsa ve teknik yardıma ihtiyacınız varsa, Azure desteği isteği oluşturun, bkz. Azure desteği isteği oluşturma.