Обновление сертификатов TLS клиента для клиентов приложений с помощью База данных Azure для PostgreSQL — гибкий сервер
ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер
Импорт сертификатов корневого ЦС в Хранилище ключей Java на клиенте для сценариев закрепления сертификатов
Пользовательские приложения Java используют хранилище ключей по умолчанию, которое называется cacerts, которое содержит сертификаты доверенного центра сертификации (ЦС). Он также часто называется хранилищем доверия Java. Файл сертификатов с именем cacerts находится в каталоге свойств безопасности, java.home\lib\security, где java.home — это каталог среды выполнения (каталог jre в пакете SDK или каталог верхнего уровня среды выполнения Java™ 2). Чтобы обновить сертификаты корневого ЦС клиента для сценариев закрепления сертификатов клиента с помощью гибкого сервера PostgreSQL, можно использовать следующие инструкции.
- Проверьте хранилище ключей java cacerts , чтобы узнать, содержит ли он уже необходимые сертификаты. Вы можете перечислить сертификаты в хранилище ключей Java с помощью следующей команды:
keytool -list -v -keystore ..\lib\security\cacerts > outputfile.txt
Если необходимые сертификаты отсутствуют в хранилище ключей Java на клиенте, как можно проверить в выходных данных, следует продолжить следующие инструкции:
Создайте резервную копию пользовательского хранилища ключей.
Скачайте сертификаты и сохраните их локально, где можно ссылаться на них.
Создание объединенного хранилища сертификатов ЦС со всеми необходимыми сертификатами корневого ЦС включаются. В приведенном ниже примере показано использование DefaultJavaSSLFactory для пользователей JDBC PostgreSQL.
keytool -importcert -alias PostgreSQLServerCACert -file D:\ DigiCertGlobalRootG2.crt.pem -keystore truststore -storepass password -noprompt keytool -importcert -alias PostgreSQLServerCACert2 -file "D:\ Microsoft ECC Root Certificate Authority 2017.crt.pem" -keystore truststore -storepass password -noprompt keytool -importcert -alias PostgreSQLServerCACert -file D:\ DigiCertGlobalRootCA.crt.pem -keystore truststore -storepass password -noprompt
Замените исходный файл хранилища ключей новым созданным:
System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file"); System.setProperty("javax.net.ssl.trustStorePassword","password");
Замените исходный PEM-файл корневого ЦС объединенным файлом корневого ЦС и перезапустите приложение или клиент.
Дополнительные сведения о настройке сертификатов клиента с помощью драйвера JDBC PostgreSQL см. в этой документации.
Примечание.
Чтобы импортировать сертификаты в хранилища сертификатов клиента, может потребоваться преобразовать файлы CRT сертификата в pem-формат. Служебная программа OpenSSL позволяет выполнять эти преобразования файлов.
Получение списка доверенных сертификатов в Хранилище ключей Java программным способом
Как указано выше, Java по умолчанию сохраняет доверенные сертификаты в специальном файле с именем cacerts , расположенном в папке установки Java на клиенте. Пример ниже сначала считывает cacerts и загружает его в объект KeyStore :
private KeyStore loadKeyStore() {
String relativeCacertsPath = "/lib/security/cacerts".replace("/", File.separator);
String filename = System.getProperty("java.home") + relativeCacertsPath;
FileInputStream is = new FileInputStream(filename);
KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
String password = "changeit";
keystore.load(is, password.toCharArray());
return keystore;
}
Пароль по умолчанию для cacerts имеет значение changeit, но должен отличаться в реальном клиенте, так как администраторы рекомендуют изменять пароль сразу после установки Java. После загрузки объекта KeyStore можно использовать класс PKIXParameters для чтения сертификатов.
public void whenLoadingCacertsKeyStore_thenCertificatesArePresent() {
KeyStore keyStore = loadKeyStore();
PKIXParameters params = new PKIXParameters(keyStore);
Set<TrustAnchor> trustAnchors = params.getTrustAnchors();
List<Certificate> certificates = trustAnchors.stream()
.map(TrustAnchor::getTrustedCert)
.collect(Collectors.toList());
assertFalse(certificates.isEmpty());
}
Обновление сертификатов корневого ЦС при использовании клиентов в службах приложение Azure с помощью База данных Azure для PostgreSQL — гибкий сервер для сценариев закрепления сертификатов
Для служб приложение Azure, подключающихся к База данных Azure для PostgreSQL, можно использовать два возможных сценария обновления сертификатов клиента, и это зависит от того, как вы используете SSL с приложением, развернутом в службах приложение Azure.
- Новые сертификаты добавляются в Служба приложений на уровне платформы до внесения изменений в База данных Azure для PostgreSQL — гибкий сервер. Если вы используете в приложении SSL-сертификаты, включенные в платформу Службы приложений, то никаких действий не требуется. Дополнительные сведения см. в документации по службе приложение Azure.
- Если вы явно включаете путь к файлу SSL-сертификата в коде, вам потребуется скачать новый сертификат и обновить код для использования нового сертификата. Хорошим примером этого сценария является использование пользовательских контейнеров в Служба приложений, как показано в документации по Служба приложений
Обновление сертификатов корневого ЦС при использовании клиентов в Служба Azure Kubernetes (AKS) с помощью База данных Azure для PostgreSQL — гибкий сервер для сценариев закрепления сертификатов
Если вы пытаетесь подключиться к База данных Azure для PostgreSQL с помощью приложений, размещенных в Служба Azure Kubernetes (AKS) и закреплении сертификатов, это похоже на доступ из выделенной среды размещения клиентов. Ознакомьтесь с этими инструкциями.
Обновление сертификатов корневого ЦС для пользователей .NET (Npgsql) в Windows с помощью База данных Azure для PostgreSQL — гибкий сервер для сценариев закрепления сертификатов
Для пользователей .NET (Npgsql) в Windows, подключаясь к База данных Azure для PostgreSQL — гибкие серверы, убедитесь, что все три корневого центра сертификации Microsoft RSA 2017, DigiCert Global Root G2, а также Digicert Global Root CA существуют в Хранилище сертификатов Windows, доверенных корневых центров сертификации. Если какие либо из этих сертификатов в нем отсутствуют, импортируйте их.
Обновление сертификатов корневого ЦС для других клиентов для сценариев закрепления сертификатов
Для других пользователей клиента PostgreSQL можно объединить два файла сертификата ЦС, как показано ниже.
-----BEGIN CERTIFICATE-----
(Root CA1: DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: Microsoft ECC Root Certificate Authority 2017.crt.pem)
-----END CERTIFICATE-----