Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
База данных Azure SQL и Управляемый экземпляр Azure SQL обновят корневой сертификат для клиентского приложения/драйвера, использующего протоколы SSL и TLS для установления безопасного TDS-соединения. Чтобы получить последний список сведений о корневом центре сертификации, см. сведения о центрах сертификации Azure. В этой статье приводятся дополнительные сведения о предстоящих изменениях, ресурсах, которые будут затронуты и действиях, которые необходимо выполнить, чтобы обеспечить подключение приложения к серверу базы данных.
Какое обновление будет выполнено?
Форум Browser Certificate Authority (CA) недавно опубликовал отчеты о несоответствии нескольких сертификатов, выданных поставщиками ЦС.
В соответствии с требованиями к соответствию требованиям отрасли поставщики ЦС начали отзывать сертификаты ЦС для несоответствующих ЦС, требуя от серверов использовать сертификаты, выданные соответствующими ЦС, и подписанные сертификатами ЦС из этих соответствующих ЦС. Так как в настоящее время База данных SQL и Управляемый экземпляр SQL используют один из этих несоответствующих сертификатов, которые клиентские приложения используют для проверки подключений TLS, необходимо убедиться, что необходимые действия выполняются для минимизации потенциального влияния на серверы SQL Azure.
Если вы используете полную проверку сертификата сервера при подключении из клиента SQL (TrustServerCertificate=false), необходимо убедиться, что клиент SQL сможет проверить новый корневой сертификат, перечисленный в корневых центрах сертификации.
Как узнать, может ли это повлиять на мое приложение?
Все приложения, использующие SSL/TLS и проверяющие корневой сертификат, должны обновить корневой сертификат для подключения к базе данных SQL Azure и управляемому экземпляру SQL Azure.
Если в настоящее время вы не используете протокол SSL/TLS, то нет влияния на доступность приложения. Можно проверить, пытается ли клиентское приложение проверить корневой сертификат, просмотрев строку подключения. Если TrustServerCertificate явно задано значение true, то вы не затронуты.
Если драйвер вашего клиента использует хранилище сертификатов ОС, как и большинство драйверов, и ваша ОС регулярно обновляется, это изменение, вероятно, не повлияет на вас, так как корневой сертификат, на который мы переключимся, должен уже быть доступен в вашем доверенном хранилище корневых сертификатов. Проверьте список корневых центров сертификации и убедитесь, что один из сертификатов присутствует в доверенном корневом хранилище сертификатов.
Если драйвер клиента использует локальное хранилище сертификатов файлов, чтобы избежать прерывания доступности приложения из-за неожиданного отзыва сертификатов или обновления сертификата, который был отменен, см . раздел "Что нужно сделать для поддержания подключения".
Какие действия нужно выполнить для поддержания подключения
Чтобы избежать прерывания доступности приложения из-за неожиданного отзыва сертификатов или обновления сертификата, который был отменен, выполните следующие действия.
Скачайте следующие сертификаты из корневых центров сертификации.
- DigiCert Global Root G2
- Корневой удостоверяющий центр Microsoft ECC 2017
- Корневой удостоверяющий центр Microsoft RSA 2017
Импортируйте сертификаты в доверенное корневое хранилище сертификатов на клиентском компьютере. Действия по импорту сертификата зависят от операционной системы и используемого драйвера клиента. Например, если вы используете Windows, вы можете использовать консоль управления Майкрософт (MMC) для импорта сертификата в хранилище доверенных корневых центров сертификации.
Каковы могут быть последствия?
Если вы проверяете сертификаты сервера, как описано здесь, доступность приложения может быть прервана, так как база данных не будет доступной. В зависимости от приложения можно получать различные сообщения об ошибках, включая, но не только:
- Недействительный сертификат или аннулированный сертификат
- Время ожидания подключения истекло
- Ошибка, если применимо
Часто задаваемые вопросы
Если я не использую протокол SSL/TLS, необходимо ли мне все равно обновить корневой ЦС?
Если вы не используете ПРОТОКОЛ SSL/TLS, никаких действий в отношении этого изменения не требуется. Тем не менее, вам следует наметить план по началу использования последней версии TLS, поскольку мы планируем принудительное применение TLS в ближайшем будущем.
Что произойдет, если не обновить корневой сертификат после истечения срока действия сертификата?
Если вы не обновляете корневой сертификат до истечения срока его действия, приложения, которые подключаются через SSL/TLS и выполняет проверку корневого сертификата, не смогут взаимодействовать с базой данных SQL и управляемым экземпляром SQL и приложением будет испытывать проблемы с подключением к базе данных SQL и Управляемому экземпляру SQL.
Нужно ли мне запланировать время простоя из-за обслуживания для внесения этого изменения?
№ Поскольку изменение касается только стороны клиента для подключения к серверу, времени простоя для обслуживания в данном случае не требуется.
Что делать, если не удается получить запланированное время простоя для этого изменения?
Так как клиенты, используемые для подключения к серверу, должны обновлять сведения о сертификате, как описано в разделе исправления, нам не нужно простоя сервера в этом случае.
Если я создам новый сервер после 30 ноября 2020 г., повлияет ли на него это изменение?
Для новых серверов можно использовать только что выданный сертификат для приложений для подключения с помощью SSL/TLS.
Как часто корпорация Майкрософт обновляет свои сертификаты и какова политика срока действия?
Эти сертификаты, используемые базой данных SQL и управляемым экземпляром SQL, предоставляются доверенными центрами сертификации (ЦС). Таким образом, поддержка этих сертификатов в SQL Database и SQL Managed Instance зависит от их поддержки Удостоверяющим центром. Однако, как и в этом случае, в этих предопределенных сертификатах могут быть непредвиденные ошибки, которые необходимо исправить как можно раньше.
Если я использую реплики чтения, необходимо ли выполнить это обновление только на основном сервере или на всех репликах чтения?
Так как это обновление является изменением на стороне клиента, если клиент использовался для чтения данных с сервера реплики, необходимо также применить изменения для этих клиентов.
У нас есть серверный запрос, чтобы проверить, используется ли протокол SSL/TLS?
Так как эта конфигурация является клиентской, информация недоступна на стороне сервера.
Что делать, если у меня возникнут дополнительные вопросы?
Если у вас есть план поддержки и вам нужна техническая помощь, создайте запрос на поддержку Azure. Дополнительные сведения о создании запроса на поддержку см. здесь.