Grundlegendes zu den Änderungen im Zusammenhang mit der Stammzertifizierungsstelle für Azure SQL-Datenbank und SQL Managed Instance
Bei Azure SQL-Datenbank und SQL Managed Instance ändert sich das Stammzertifikat für die Clientanwendung oder den Clienttreiber mit Secure Sockets Layer (SSL) oder Transport Layer Security (TLS)-Aktivierung, die bzw. den Sie zum Herstellen einer sicheren TDS-Verbindung verwenden. Für das aktuelle Stammzertifikat wird im Rahmen der Standardwartung und gemäß den Best Practices zum Thema Sicherheit der Ablauf auf den 26. Oktober 2020 festgelegt. In diesem Artikel erhalten Sie ausführlichere Informationen zu den bevorstehenden Änderungen, den betroffenen Ressourcen sowie den Schritten, die erforderlich sind, um sicherzustellen, dass die Konnektivität Ihrer Anwendung mit dem Datenbankserver bestehen bleibt.
Welches Update wird durchgeführt?
Im Browserforum für Zertifizierungsstellen wurde jedoch kürzlich gemeldet, dass mehrere von Zertifizierungsstellenanbietern ausgestellte Zertifikate nicht konform sind.
Gemäß den Konformitätsanforderungen der Branche haben Zertifizierungsstellenanbieter damit begonnen, Zertifizierungsstellenzertifikate für nicht konforme Zertifizierungsstellen zu sperren. Daher müssen Server Zertifikate verwenden, die von konformen Zertifizierungsstellen ausgestellt und durch Zertifizierungsstellenzertifikate von diesen konformen Zertifizierungsstellen signiert wurden. Da Azure SQL-Datenbank und SQL Managed Instance derzeit eines dieser nicht konformen Zertifikate verwenden, die von Clientanwendungen zum Überprüfen der TLS-Verbindungen genutzt werden, müssen wir sicherstellen, dass entsprechende Maßnahmen ergriffen werden (siehe unten), um die potenziellen Auswirkungen auf Ihre SQL-Server in Azure zu minimieren.
Das neue Zertifikat wird ab dem 26. Oktober 2020 verwendet. Wenn Sie die vollständige Überprüfung für das Serverzertifikat durchführen, wenn Sie eine Verbindung von einem SQL-Client herstellen (TrustServerCertificate=false), müssen Sie sicherstellen, dass Ihr SQL-Client in der Lage wäre, das neue Stammzertifikat vor dem 26. Oktober 2020 zu überprüfen.
Betroffene Anwendungen
Alle Anwendungen, die SSL/TLS verwenden und das Stammzertifikat überprüfen, müssen das Stammzertifikat aktualisieren, um eine Verbindung zu Azure SQL-Datenbank und Azure SQL Managed Instance herstellen zu können.
Wenn Sie SSL/TLS aktuell nicht verwenden, besteht keine Auswirkung auf die Verfügbarkeit Ihrer Anwendung. Sie können überprüfen, ob Ihre Clientanwendung versucht, das Stammzertifikat zu überprüfen, indem Sie sich die Verbindungszeichenfolge ansehen. Wenn TrustServerCertificate explizit auf TRUE festgelegt ist, sind Sie nicht betroffen.
Wenn Ihr Clienttreiber den Zertifikatspeicher des Betriebssystems verwendet, was bei den meisten Treibern der Fall ist, und wenn Ihr Betriebssystem regelmäßig gewartet wird, wirkt sich diese Änderung vermutlich nicht auf Sie aus, da das Stammzertifikat, das geändert wird, in Ihrem Zertifikatspeicher für vertrauenswürdige Stammzertifikate bereits verfügbar sein sollte. Suchen Sie nach Baltimore CyberTrust Root und DigiCert GlobalRoot G2 Root, und überprüfen Sie, ob es vorhanden ist.
Wenn Ihr Clienttreiber einen Zertifikatspeicher mit lokalen Dateien nutzt, finden Sie unter Was muss ich tun, um die Konnektivität aufrechtzuerhalten? Informationen dazu, wie Sie verhindern, dass die Verfügbarkeit Ihrer Anwendung aufgrund unerwartet widerrufener Zertifikate unterbrochen wird, oder wie Sie ein widerrufenes Zertifikat aktualisieren.
Was muss ich tun, um die Konnektivität aufrechtzuerhalten?
Folgen Sie diesen Schritte, um zu verhindern, dass die Verfügbarkeit Ihrer Anwendung aufgrund unerwartet widerrufener Zertifikate unterbrochen wird, oder um ein widerrufenes Zertifikat zu aktualisieren:
Laden Sie die Stammzertifizierungsstellen Baltimore CyberTrust Root und DigiCert GlobalRoot G2 herunter:
Generieren Sie einen kombinierten Zertifizierungsstellen-Zertifikatspeicher, in dem sowohl BaltimoreCyberTrustRoot als auch DigiCertGlobalRootG2 enthalten sind.
Mögliche Auswirkungen
Wenn Sie Serverzertifikate wie hier dokumentiert überprüfen, wird die Verfügbarkeit Ihrer Anwendung möglicherweise unterbrochen, da die Datenbank nicht erreichbar ist. Abhängig von Ihrer Anwendung können Sie eine Vielzahl von Fehlermeldungen erhalten, einschließlich, aber nicht beschränkt auf:
- Ungültiges Zertifikat/Widerrufenes Zertifikat
- Timeout bei Verbindung
- Fehler (sofern zutreffend)
Häufig gestellte Fragen
Muss ich die Stammzertifizierungsstelle auch aktualisieren, wenn ich SSL/TLS nicht verwende?
Wenn Sie SSL/TLS nicht verwenden, sind keine Schritte erforderlich. Dennoch sollten Sie einen Plan festlegen, um mit der Verwendung der aktuellen TLS-Version zu beginnen, da für die nahe Zukunft eine TLS-Erzwingung vorgesehen ist.
Was geschieht, wenn ich das Stammzertifikat bis zum 26. Oktober 2020 nicht aktualisiere?
Wenn Sie das Stammzertifikat nicht bis zum 30. November 2020 aktualisieren, können Ihre Anwendungen, die über SSL/TLS eine Verbindung herstellen und die Überprüfung des Stammzertifikats durchführen, nicht mit Azure SQL-Datenbank uns SQL Managed Instance kommunizieren. Außerdem treten für Ihre Anwendung Verbindungsprobleme im Zusammenhang mit Azure SQL-Datenbank und SQL Managed Instance auf.
Muss ich für diese Änderung eine Wartungsdowntime planen?
Nein Da die Änderung nur auf der Clientseite erfolgt, um eine Verbindung mit dem Server herzustellen, ist für diese Änderung keine Wartungsdowntime erforderlich.
Was geschieht, wenn vor dem 26. Oktober 2020 keine geplante Downtime für diese Änderung möglich ist?
Da die Clients, die zum Herstellen einer Verbindung mit dem Server verwendet werden, die Zertifikatinformationen gemäß diesem Abschnitt aktualisieren müssen, ist in diesem Fall keine Downtime für den Server erforderlich.
Bin ich betroffen, wenn ich nach dem 30. November 2020 einen neuen Server erstelle?
Für Server, die nach dem 26. Oktober 2020 erstellt werden, können Sie das neu ausgestellte Zertifikat für Ihre Anwendungen verwenden, um eine Verbindung mithilfe von SSL/TLS herzustellen.
Wie oft aktualisiert Microsoft seine Zertifikate, bzw. welche Ablaufrichtlinie gilt?
Diese von Azure SQL-Datenbank und SQL Managed Instance verwendeten Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen (ZS) bereitgestellt. Die Unterstützung dieser Zertifikate in Azure SQL-Datenbank und SQL Managed Instance ist also an die Unterstützung dieser Zertifikate durch die ZS gebunden. Wie in diesem Fall kann es jedoch zu unvorhergesehenen Fehlern in diesen vordefinierten Zertifikaten kommen, die schnellstmöglich behoben werden müssen.
Muss ich bei Verwendung von Lesereplikaten dieses Update nur auf dem primären Server oder für alle gelesenen Replikate ausführen?
Da dieses Update eine clientseitige Änderung ist, müssen Sie die Änderungen auch für diese Clients anwenden, wenn der Client Daten vom Replikatserver gelesen hat.
Gibt es eine serverseitige Abfrage, um zu überprüfen, ob SSL/TLS verwendet wird?
Da diese Konfiguration clientseitig ist, liegen auf Seite des Servers keine Informationen vor.
Wie gehe ich vor, wenn ich weitere Fragen habe?
Wenn Sie über einen Supportplan verfügen und technische Hilfe benötigen, können Sie eine Anfrage an den Azure-Support einreichen. Wie das funktioniert, erfahren Sie unter Erstellen einer Azure-Supportanfrage.