Verschlüsselte Konnektivität mit Transport Layer Security in Azure Database for PostgreSQL: Flexible Server
GILT FÜR: Azure Database for PostgreSQL – Flexibler Server
Azure Database for PostgreSQL – Flexibler Server unterstützt das Herstellen einer Verbindung zwischen Ihren Clientanwendungen und dem Dienst Azure Database for PostgreSQL – Flexibler Server über Transport Layer Security (TLS), zuvor bekannt als Secure Sockets Layer (SSL). TLS ist ein Standardprotokoll der Branche, das verschlüsselte Netzwerkverbindungen zwischen dem Datenbankserver und Clientanwendungen gewährleistet, sodass Sie Konformitätsanforderungen einhalten können.
Azure Database for PostgreSQL – Flexibler Server unterstützt verschlüsselte Verbindungen mit Transport Layer Security (TLS 1.2+), und alle eingehenden Verbindungen mit TLS 1.0 und TLS 1.1 werden verweigert. Bei allen Instanzen von Azure Database for PostgreSQL – Flexibler Server ist die Erzwingung von TLS-Verbindungen aktiviert.
Hinweis
Standardmäßig wird eine sichere Konnektivität zwischen dem Client und dem Server erzwungen. Wenn Sie die Erzwingung von TLS/SSL deaktivieren möchten und sowohl verschlüsselte als auch unverschlüsselte Clientkommunikation zulassen, können Sie den Serverparameter require_secure_transport in AUS ändern. Sie können die TLS-Version auch festlegen, indem Sie die ssl_max_protocol_version-Serverparameter festlegen.
Anwendungen, die eine Zertifikatüberprüfung für TLS/SSL-Verbindungen erfordern
In einigen Fällen erfordern Anwendungen eine lokale Zertifikatdatei, die auf der Grundlage der Zertifikatdatei einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) generiert wurde, um eine sichere Verbindung herzustellen. Weitere Informationen zum Herunterladen von Stammzertifizierungsstellenzertifikaten finden Sie in diesem Dokument. Detaillierte Informationen zum Aktualisieren von Zertifikatspeichern von Clientanwendungen mit neuen Stamm-Zertifizierungsstellenzertifikaten finden Sie in dieser Schrittanleitung.
Hinweis
Azure Database for PostgreSQL – Flexibler Server unterstützt derzeit keine benutzerdefinierten SSL/TLS-Zertifikate.
Herstellen einer Verbindung mit psql
Wenn Sie die Instanz von Azure Database for PostgreSQL – Flexibler Server mit der Einstellung Privater Zugriff (VNet-Integration) erstellt haben, müssen Sie über eine Ressource innerhalb desselben virtuellen Netzwerks eine Verbindung mit der Serverinstanz herstellen. Sie können eine VM erstellen und dem VNet hinzufügen, das mit Ihrer Instanz von Azure Database for PostgreSQL – Flexibler Server erstellt wurde.
Wenn Sie Ihre Instanz von Azure Database for PostgreSQL – Flexibler Server mit der Einstellung Öffentlicher Zugriff (zulässige IP-Adressen) erstellt haben, können Sie die lokale IP-Adresse der Liste der Firewallregeln für die Serverinstanz hinzufügen.
Das folgende Beispiel zeigt, wie Sie einen Server mithilfe der psql-Befehlszeilenschnittstelle verbinden können. Verwenden Sie die Einstellung sslmode=verify-full
für die Verbindungszeichenfolge, um die Überprüfung des TLS-/SSL-Zertifikats zu erzwingen. Übergeben Sie den Pfad der lokalen Zertifikatdatei an den Parameter sslrootcert
.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Hinweis
Vergewissern Sie sich, dass der Wert, den Sie an sslrootcert übergeben haben, dem Dateipfad für das von Ihnen gespeicherte Zertifikat entspricht.
Sicherstellen, dass die Anwendung oder das Framework TLS-Verbindungen unterstützt
Einige Anwendungsframeworks, die PostgreSQL für ihre Datenbankdienste verwenden, aktivieren TLS nicht standardmäßig während der Installation. Ihre Instanz von Azure Database for PostgreSQL – Flexibler Server erzwingt TLS-Verbindungen. Wenn die Anwendung nicht für TLS konfiguriert ist, kann sie jedoch keine Verbindung mit Ihrem Datenbankserver herstellen. Lesen Sie in der Dokumentation Ihrer Anwendung nach, wie TLS-Verbindungen aktiviert werden.