Udostępnij za pośrednictwem

Szyfrowana łączność przy użyciu zabezpieczeń warstwy transportu w usłudze Azure Database for PostgreSQL — serwer elastyczny

  • Artykuł

DOTYCZY: Azure Database for PostgreSQL — serwer elastyczny

Serwer elastyczny usługi Azure Database for PostgreSQL obsługuje łączenie aplikacji klienckich z serwerem elastycznym usługi Azure Database for PostgreSQL przy użyciu protokołu Transport Layer Security (TLS), wcześniej znanego jako Secure Sockets Layer (SSL). TLS to protokół standardu branżowego, który zapewnia szyfrowane połączenia sieciowe między serwerem bazy danych i aplikacjami klienckimi, co pozwala spełnić wymagania dotyczące zgodności.

Serwer elastyczny usługi Azure Database for PostgreSQL obsługuje połączenia szyfrowane przy użyciu protokołu Transport Layer Security (TLS 1.2 lub nowszego), a wszystkie połączenia przychodzące z protokołami TLS 1.0 i TLS 1.1 zostaną odrzucone. Dla wszystkich wystąpień serwera elastycznego usługi Azure Database for PostgreSQL wymuszanie połączeń TLS jest włączone.

Uwaga

Bezpieczna łączność między klientem a serwerem jest wymuszana domyślnie. Jeśli chcesz wyłączyć protokół TLS/SSL na potrzeby nawiązywania połączenia z serwerem elastycznym usługi Azure Database for PostgreSQL, możesz zmienić parametr serwera require_secure_transport na WYŁĄCZONE. Wersję protokołu TLS można również ustawić, ustawiając parametry serwera ssl_max_protocol_version .

Aplikacje wymagające weryfikacji certyfikatu na potrzeby łączności TLS/SSL

W niektórych przypadkach aplikacje wymagają lokalnego pliku certyfikatu wygenerowanego z pliku certyfikatu zaufanego urzędu certyfikacji w celu bezpiecznego nawiązania połączenia. Więcej informacji na temat pobierania certyfikatów głównego urzędu certyfikacji można znaleźć w tym dokumencie. Szczegółowe informacje na temat aktualizowania magazynów certyfikatów aplikacji klienckich przy użyciu nowych certyfikatów głównego urzędu certyfikacji zostały udokumentowane w tym dokumencie z instrukcjami.

Uwaga

Azure Database for PostgreSQL — serwer elastyczny nie obsługuje obecnie niestandardowych certyfikatów SSL\TLS.

Nawiązywanie połączenia przy użyciu narzędzia psql

Jeśli utworzono wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem prywatnym (integracja z siecią wirtualną), musisz nawiązać połączenie z serwerem z zasobu w tej samej sieci wirtualnej co serwer. Możesz utworzyć maszynę wirtualną i dodać ją do sieci wirtualnej utworzonej przy użyciu elastycznego wystąpienia serwera usługi Azure Database for PostgreSQL.

Jeśli utworzono wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym (dozwolonymi adresami IP), możesz dodać lokalny adres IP do listy reguł zapory na serwerze.

W poniższym przykładzie pokazano, jak nawiązać połączenie z serwerem przy użyciu interfejsu wiersza polecenia psql. sslmode=verify-full Użyj ustawienia parametry połączenia, aby wymusić weryfikację certyfikatu TLS/SSL. Przekaż ścieżkę pliku certyfikatu lokalnego do parametru sslrootcert .

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Uwaga

Upewnij się, że wartość przekazana do certyfikatu sslrootcert jest zgodna ze ścieżką pliku dla zapisanego certyfikatu.

Upewnij się, że aplikacja lub struktura obsługuje połączenia TLS

Niektóre struktury aplikacji korzystające z bazy danych PostgreSQL domyślnie nie włączają protokołu TLS podczas instalacji. Wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL wymusza połączenia TLS, ale jeśli aplikacja nie jest skonfigurowana do obsługi protokołu TLS, aplikacja może nie nawiązać połączenia z serwerem bazy danych. Zapoznaj się z dokumentacją aplikacji, aby dowiedzieć się, jak włączyć połączenia TLS.

Następne kroki