SSL/TLS-anslutning i Azure Database for MySQL

GÄLLER FÖR: Azure Database for MySQL – enskild server

Viktigt!

Azure Database for MySQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till en flexibel Azure Database for MySQL-server. Mer information om hur du migrerar till en flexibel Azure Database for MySQL-server finns i Vad händer med Azure Database for MySQL – enskild server?

Azure Database for MySQL stöder anslutning av databasservern till klientprogram med hjälp av SSL (Secure Sockets Layer). Framtvingande av SSL-anslutningar mellan databasservern och klientprogrammen hjälper till att skydda mot ”man in the middle”-attacker genom att kryptera dataströmmen mellan servern och programmet.

Kommentar

Att uppdatera värdet för require_secure_transport serverparametern påverkar inte MySQL-tjänstens beteende. Använd funktionerna för SSL- och TLS-tvingande som beskrivs i den här artikeln för att skydda anslutningar till databasen.

Kommentar

Baserat på feedback från kunder har vi utökat rotcertifikatutfasningen för vår befintliga Baltimore Root CA till den 15 februari 2021 (2021-02-15).

Viktigt!

SSL-rotcertifikatet är inställt på att upphöra att gälla från och med den 15 februari 2021 (2021-02-15). Uppdatera programmet så att det nya certifikatet används. Mer information finns i planerade certifikatuppdateringar

Standardinställningar för SSL

Som standard bör databastjänsten konfigureras för att kräva SSL-anslutningar vid anslutning till MySQL. Vi rekommenderar att du undviker att inaktivera SSL-alternativet när det är möjligt.

När du etablerar en ny Azure Database for MySQL-server via Azure-portalen och CLI är tillämpningen av SSL-anslutningar aktiverad som standard.

Anslutningssträngar för olika programmeringsspråk visas i Azure-portalen. Dessa niska veze innehåller de SSL-parametrar som krävs för att ansluta till databasen. I Azure-portalen väljer du din server. Under rubriken Inställningar väljer du Anslutningssträngar. SSL-parametern varierar beroende på anslutningsappen, till exempel "ssl=true" eller "sslmode=require" eller "sslmode=required" och andra varianter.

I vissa fall kräver program att en lokal certifikatfil som genereras från en certifikatfil för betrodd certifikatutfärdare (CA) ansluter på ett säkert sätt. För närvarande kan kunder bara använda det fördefinierade certifikatet för att ansluta till en Azure Database for MySQL-server, som finns på https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem.

På samma sätt pekar följande länkar på certifikaten för servrar i nationella moln: Azure Government, Microsoft Azure som drivs av 21Vianet och Azure Tyskland.

Information om hur du aktiverar eller inaktiverar SSL-anslutning när du utvecklar programmet finns i Konfigurera SSL.

TLS-tillämpning i Azure Database for MySQL

Azure Database for MySQL stöder kryptering för klienter som ansluter till databasservern med hjälp av TLS (Transport Layer Security). TLS är ett branschstandardprotokoll som säkerställer säkra nätverksanslutningar mellan databasservern och klientprogrammen, så att du kan följa efterlevnadskraven.

TLS-inställningar

Azure Database for MySQL ger möjlighet att framtvinga TLS-versionen för klientanslutningarna. Använd alternativinställningen Lägsta TLS-version för att framtvinga TLS-versionen. Följande värden tillåts för den här alternativinställningen:

Minsta TLS-inställning Klient-TLS-version stöds
TLSEnforcementDisabled (standard) Ingen TLS krävs
TLS1_0 TLS 1.0, TLS 1.1, TLS 1.2 och senare
TLS1_1 TLS 1.1, TLS 1.2 och senare
TLS1_2 TLS version 1.2 och senare

Om du till exempel anger värdet för lägsta TLS-inställningsversion till TLS 1.0 innebär det att servern tillåter anslutningar från klienter med TLS 1.0, 1.1 och 1.2+. Om du anger 1.2 innebär det också att du endast tillåter anslutningar från klienter som använder TLS 1.2+ och att alla anslutningar med TLS 1.0 och TLS 1.1 avvisas.

Kommentar

Som standard tillämpar Azure Database for MySQL inte en lägsta TLS-version (inställningen TLSEnforcementDisabled).

När du har tillämpat en lägsta TLS-version kan du inte senare inaktivera lägsta versionskontroll.

Den minsta TLS-versionsinställningen kräver ingen omstart av servern när servern är online. Mer information om hur du anger TLS-inställningen för din Azure Database for MySQL finns i Konfigurera TLS-inställning.

Chifferstöd från Azure Database for MySQL – enskild server

Som en del av SSL/TLS-kommunikationen verifieras chiffersviterna och stöder endast chifferdräkter som kan kommunicera med databasservern. Valideringen av chiffersviten styrs i gatewaylagret och inte explicit på själva noden. Om chiffersviterna inte matchar någon av sviterna nedan avvisas inkommande klientanslutningar.

Chiffersvit som stöds

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Nästa steg