Conectividad cifrada con Seguridad de la capa de transporte en Azure Database for PostgreSQL: Servidor flexible
SE APLICA A: Azure Database for PostgreSQL con servidor flexible
Azure Database for PostgreSQL con servidor flexible admite la conexión de las aplicaciones cliente al servicio de Azure Database for PostgreSQL con servidor flexible mediante la Seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL). TLS es un protocolo estándar del sector que garantiza conexiones de red cifradas entre el servidor de bases de datos y las aplicaciones cliente, lo que le permite ajustarse a los requisitos de cumplimiento.
Azure Database for PostgreSQL con servidor flexible admite conexiones cifradas mediante la Seguridad de la capa de transporte (TLS 1.2+) y se denegarán todas las conexiones entrantes con TLS 1.0 y TLS 1.1. Para todas las instancias de Azure Database for PostgreSQL con servidor flexible, está habilitada la aplicación de las conexiones TLS.
Nota:
De forma predeterminada, se aplica la conectividad protegida entre el cliente y el servidor. Si desea deshabilitar la aplicación de TLS/SSL, lo que permite las comunicaciones de cliente cifradas y sin cifrar, puede cambiar el parámetro de servidor require_secure_transport a Desactivado. También puede establecer la versión de TLS; para ello, configure los parámetros de servidor ssl_max_protocol_version.
Aplicaciones que requieren la verificación de certificados para la conectividad TLS/SSL
En algunos casos, las aplicaciones requieren un archivo de certificado local generado a partir de un archivo de certificado de una entidad de certificación (CA) de confianza para conectarse de forma segura. Para más información sobre cómo descargar certificados de entidad de certificación raíz, puede visitar este documento. En este documento de procedimientos se incluye información detallada sobre la actualización de almacenes de certificados de aplicaciones cliente con nuevos certificados de entidad de certificación raíz.
Nota:
En este momento, Azure Database for PostgreSQL: servidor flexible no admite certificados SSL\TLS personalizados.
Conexión mediante psql
Si ha creado la instancia de Azure Database for PostgreSQL con servidor flexible con Acceso privado (integración con red virtual), debe conectarse al servidor desde un recurso que se encuentre en la misma red virtual que el servidor. Puede crear una máquina virtual y agregarla a la red virtual creada con la instancia de Azure Database for PostgreSQL con servidor flexible.
Si ha creado la instancia de Azure Database for PostgreSQL con servidor flexible con Acceso público (direcciones IP permitidas), puede agregar la dirección IP local a la lista de reglas de firewall del servidor.
En el ejemplo siguiente se muestra cómo conectarse al servidor mediante la interfaz de la línea de comandos psql. Use la configuración de la cadena de conexión sslmode=verify-full
para aplicar la comprobación del certificado TLS/SSL. Pase la ruta de acceso al archivo del certificado local al parámetro sslrootcert
.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Nota
Confirme que el valor pasado a sslrootcert coincide con la ruta de acceso al archivo del certificado que guardó.
Comprobación de que la aplicación o el marco de trabajo admiten conexiones TLS
Algunos marcos de trabajo de aplicaciones que usan PostgreSQL en los servicios de bases de datos no habilitan TLS de manera predeterminada durante la instalación. La instancia de Azure Database for PostgreSQL con servidor flexible establece conexiones TLS, pero si la aplicación no está configurada para dicho protocolo, esta puede presentar un error al conectarse al servidor de bases de datos. Consulte la documentación de la aplicación para aprender a habilitar las conexiones TLS.
Comparta sugerencias y errores con el equipo de producto de Azure Database for PostgreSQL.