Dela via

Konfigurera TLS i Azure Cosmos DB för PostgreSQL

  • Artikel

GÄLLER FÖR: Azure Cosmos DB for PostgreSQL (drivs av Citus-databastillägget till PostgreSQL)

Koordinatornoden kräver att klientprogram ansluter med TLS (Transport Layer Security). Att framtvinga TLS mellan databasservern och klientprogrammen hjälper till att hålla data konfidentiella under överföring. Extra verifieringsinställningar som beskrivs nedan skyddar även mot "man-in-the-middle"-attacker.

Framtvinga TLS-anslutningar

Program använder en "anslutningssträng" för att identifiera måldatabasen och inställningarna för en anslutning. Olika klienter kräver olika inställningar. Om du vill se en lista över anslutningssträng som används av vanliga klienter läser du avsnittet Anslutningssträngar för klustret i Azure Portal.

TLS-parametrarna ssl och varierar beroende på funktionerna i anslutningsappen, till exempel ssl=true eller sslmode=require .sslmode=requiredsslmode

Se till att ditt program eller ramverk stöder TLS-anslutningar

Vissa programramverk aktiverar inte TLS som standard för PostgreSQL-anslutningar. Men utan en säker anslutning kan ett program inte ansluta till koordinatornoden. Läs dokumentationen för ditt program för att lära dig hur du aktiverar TLS-anslutningar.

Program som kräver certifikatverifiering för TLS-anslutning

I vissa fall kräver program att en lokal certifikatfil som genereras från en certifikatfil för betrodd certifikatutfärdare (CA) (.cer) ansluter på ett säkert sätt. Certifikatet för att ansluta till en Azure Cosmos DB för PostgreSQL finns på https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem. Ladda ned certifikatfilen och spara den på önskad plats.

Kommentar

Om du vill kontrollera certifikatets äkthet kan du verifiera dess SHA-256-fingeravtryck med hjälp av kommandoradsverktyget OpenSSL:

openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint

# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

Anslut med psql

I följande exempel visas hur du ansluter till din koordinatornod med hjälp av kommandoradsverktyget psql. Använd inställningen sslmode=verify-full anslutningssträng för att framtvinga verifiering av TLS-certifikat. Skicka sökvägen till den lokala certifikatfilen till parametern sslrootcert .

Nedan visas ett exempel på psql-anslutningssträng:

psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"

Dricks

Bekräfta att det värde som skickas till sslrootcert matchar filsökvägen för det certifikat som du sparade.

Kommentar

För lösenordet använder du ditt anslutningslösenord eller Microsoft Entra-ID-token. Mer information finns i autentiseringsalternativ.

Nästa steg

Öka säkerheten ytterligare med brandväggsregler i Azure Cosmos DB för PostgreSQL.