Sdílet prostřednictvím

Konfigurace protokolu TLS ve službě Azure Cosmos DB for PostgreSQL

  • Článek

PLATÍ PRO: Azure Cosmos DB for PostgreSQL (využívající rozšíření databáze Citus do PostgreSQL)

Koordinační uzel vyžaduje, aby se klientské aplikace připojily pomocí protokolu TLS (Transport Layer Security). Vynucení protokolu TLS mezi databázovým serverem a klientskými aplikacemi pomáhá udržet data při přenosu důvěrná. Další nastavení ověření popsané níže také chrání před útoky typu "man-in-the-middle".

Vynucení připojení TLS

Aplikace používají k identifikaci cílové databáze a nastavení připojení "připojovací řetězec". Různí klienti vyžadují různá nastavení. Seznam připojovací řetězec používaných běžnými klienty najdete v části Připojovací řetězce pro váš cluster na webu Azure Portal.

Parametry ssl PROTOKOLU TLS a sslmode liší se v závislosti na možnostech konektoru, například ssl=true nebo sslmode=require sslmode=required.

Ujistěte se, že vaše aplikace nebo architektura podporuje připojení TLS.

Některé aplikační architektury ve výchozím nastavení nepovolují protokol TLS pro připojení PostgreSQL. Bez zabezpečeného připojení se ale aplikace nemůže připojit k koordinačnímu uzlu. V dokumentaci vaší aplikace se dozvíte, jak povolit připojení TLS.

Aplikace, které vyžadují ověření certifikátu pro připojení tls

V některých případech aplikace vyžadují k zabezpečenému připojení místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority .cer (CA). Certifikát pro připojení ke službě Azure Cosmos DB for PostgreSQL se nachází na https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pemadrese . Stáhněte si soubor certifikátu a uložte ho do upřednostňovaného umístění.

Poznámka:

Pokud chcete ověřit pravost certifikátu, můžete pomocí nástroje příkazového řádku OpenSSL ověřit jeho otisk SHA-256:

openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint

# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

Připojení pomocí psql

Následující příklad ukazuje, jak se připojit k koordinačnímu uzlu pomocí nástroje příkazového řádku psql. sslmode=verify-full K vynucení ověření certifikátu TLS použijte nastavení připojovací řetězec. Předejte do parametru sslrootcert cestu k souboru místního certifikátu.

Níže je příklad připojovací řetězec psql:

psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"

Tip

Ověřte, že hodnota předaná parametru sslrootcert odpovídá cestě k souboru uloženého certifikátu.

Poznámka:

Pro heslo použijte heslo pro připojení nebo token MICROSOFT Entra ID. Další informace najdete v tématu Možnosti ověřování.

Další kroky

Zvyšte zabezpečení ještě více pomocí pravidel brány firewall ve službě Azure Cosmos DB for PostgreSQL.