Inzicht in de wijzigingen in de basis-CA-wijziging voor Azure SQL Database & SQL Managed Instance
Azure SQL Database & SQL Managed Instance wijzigt het basiscertificaat voor de clienttoepassing/het stuurprogramma dat is ingeschakeld met SSL (Secure Sockets Layer) of Transport Layer Security (TLS), dat wordt gebruikt om een beveiligde TDS-verbinding tot stand te brengen. Het huidige basiscertificaat zal op 26 oktober 2020 verlopen als onderdeel van de beste praktijken voor standaardonderhoud en beveiliging. In dit artikel vindt u meer informatie over de aanstaande wijzigingen, de resources die worden beïnvloed en de stappen die nodig zijn om ervoor te zorgen dat uw toepassing verbinding houdt met uw databaseserver.
Welke update gaat er gebeuren?
browserforum van certificeringsinstantie (CA) onlangs gepubliceerde rapporten van meerdere certificaten die zijn uitgegeven door CA-leveranciers om niet-compatibel te zijn.
Volgens de nalevingsvereisten van de branche zijn CA-leveranciers begonnen met het intrekken van CA-certificaten voor niet-compatibele CA's, waarbij servers certificaten moeten gebruiken die zijn uitgegeven door compatibele CA's en ondertekend door CA-certificaten van die compatibele CA's. Omdat Azure SQL Database & SQL Managed Instance momenteel een van deze niet-compatibele certificaten gebruikt, die clienttoepassingen gebruiken om hun TLS-verbindingen te valideren, moeten we ervoor zorgen dat er passende acties worden ondernomen (zoals hieronder wordt beschreven) om de mogelijke impact op uw Azure SQL-servers te minimaliseren.
Het nieuwe certificaat wordt gebruikt vanaf 26 oktober 2020. Als u volledige validatie van het servercertificaat gebruikt bij het maken van verbinding vanaf een SQL-client (TrustServerCertificate=false), moet u ervoor zorgen dat uw SQL-client vóór 26 oktober 2020 een nieuw basiscertificaat kan valideren.
Hoe weet ik of mijn toepassing mogelijk wordt beïnvloed?
Alle toepassingen die gebruikmaken van SSL/TLS en controleren of het basiscertificaat het basiscertificaat moet bijwerken om verbinding te maken met Azure SQL Database & Azure SQL Managed Instance.
Als u momenteel geen SSL/TLS gebruikt, heeft dit geen invloed op de beschikbaarheid van uw toepassing. U kunt controleren of uw clienttoepassing probeert het basiscertificaat te verifiëren door de verbindingsreeks te bekijken. Als TrustServerCertificate expliciet is ingesteld op true, dan wordt u niet beïnvloed.
Als uw clientstuurprogramma gebruikmaakt van het certificaatarchief van het besturingssysteem, zoals het merendeel van de stuurprogramma's doet, en uw besturingssysteem regelmatig wordt onderhouden, heeft deze wijziging waarschijnlijk geen invloed op u, omdat het basiscertificaat waarnaar we overschakelen, al beschikbaar moet zijn in uw vertrouwde basiscertificaatarchief. Controleer of Baltimore CyberTrust Root en DigiCert GlobalRoot G2 Root aanwezig zijn.
Als uw clientstuurprogramma gebruikmaakt van het certificaatarchief van het lokale bestand, om te voorkomen dat de beschikbaarheid van uw toepassing wordt onderbroken omdat certificaten onverwacht worden ingetrokken of als u een certificaat wilt bijwerken dat is ingetrokken, raadpleegt u de Wat moet ik doen om de connectiviteit te onderhouden sectie.
Wat moet ik doen om de connectiviteit te behouden
Volg deze stappen om te voorkomen dat de beschikbaarheid van uw toepassing wordt onderbroken omdat certificaten onverwacht worden ingetrokken of als u een certificaat wilt bijwerken dat is ingetrokken:
Download Baltimore CyberTrust Root & DigiCert GlobalRoot G2 Root CA:
Genereer een gecombineerd CA-certificaatarchief met zowel BaltimoreCyberTrustRoot als DigiCertGlobalRootG2 certificaten zijn opgenomen.
Wat kan de impact zijn?
Als u servercertificaten valideert zoals hier wordt beschreven, wordt de beschikbaarheid van uw toepassing mogelijk onderbroken omdat de database niet bereikbaar is. Afhankelijk van uw toepassing kunt u verschillende foutberichten ontvangen, waaronder maar niet beperkt tot:
- Ongeldig certificaat/ingetrokken certificaat
- Time-out voor verbinding
- Fout indien van toepassing
Veelgestelde vragen
Als ik geen SSL/TLS gebruik, moet ik nog steeds de basis-CA bijwerken?
Er zijn geen acties met betrekking tot deze wijziging vereist als u GEEN SSL/TLS gebruikt. Toch moet u een plan opstellen voor het gebruik van de nieuwste TLS-versie, omdat we op korte termijn TLS-afdwinging plannen.
Wat gebeurt er als ik het basiscertificaat vóór 26 oktober 2020 niet bijwerk?
Als u het basiscertificaat vóór 30 november 2020 niet bijwerkt, kunnen uw toepassingen die verbinding maken via SSL/TLS en verificatie voor het basiscertificaat niet communiceren met de Azure SQL Database & SQL Managed Instance en ondervindt de toepassing verbindingsproblemen met uw Azure SQL Database & SQL Managed Instance.
Moet ik een onderhoudsperiode voor deze wijziging plannen?
Nee. Omdat de wijziging zich alleen aan de clientzijde bevindt om verbinding te maken met de server, is er hier geen uitvaltijd voor onderhoud nodig voor deze wijziging.
Wat gebeurt er als ik vóór 26 oktober 2020 geen geplande downtime voor deze wijziging kan krijgen?
Omdat de clients die worden gebruikt voor het maken van verbinding met de server, de certificaatgegevens moeten worden bijgewerkt, zoals beschreven in de sectie Fix hier, hoeven we in dit geval geen downtime voor de server te hebben.
Als ik na 30 november 2020 een nieuwe server maak, wordt dit beïnvloed?
Voor servers die na 26 oktober 2020 zijn gemaakt, kunt u het zojuist uitgegeven certificaat voor uw toepassingen gebruiken om verbinding te maken via SSL/TLS.
Hoe vaak werkt Microsoft hun certificaten bij of wat is het verloopbeleid?
Deze certificaten die worden gebruikt door Azure SQL Database & SQL Managed Instance worden geleverd door vertrouwde certificeringsinstanties (CA). De ondersteuning van deze certificaten in Azure SQL Database & SQL Managed Instance is dus gekoppeld aan de ondersteuning van deze certificaten door CA. Zoals in dit geval kunnen er echter onvoorziene bugs zijn in deze vooraf gedefinieerde certificaten, die op het eerste moment moeten worden opgelost.
Als ik leesreplica's gebruik, moet ik deze update alleen uitvoeren op de primaire server of ook op alle leesreplica's?
Omdat deze update een wijziging aan de clientzijde is, moeten we de wijzigingen ook toepassen voor de clients die eerder gegevens van de replicaserver lazen.
Hebben we een query aan de serverzijde om te controleren of SSL/TLS wordt gebruikt?
Omdat deze configuratie clientzijde is, is er geen informatie beschikbaar aan de serverzijde.
Wat gebeurt er als ik nog vragen heb?
Als u een ondersteuningsplan hebt en technische hulp nodig hebt, maakt u een Azure-ondersteuningsaanvraag, raadpleegt u Hoe u een Azure-ondersteuningsaanvraag maakt.