Šifrované připojení s využitím služby Transport Layer Security na flexibilním serveru Azure Database for PostgreSQL
PLATÍ PRO:
Flexibilní server Azure Database for PostgreSQL
Flexibilní server Azure Database for PostgreSQL podporuje připojení klientských aplikací k flexibilnímu serveru Azure Database for PostgreSQL pomocí protokolu TLS (Transport Layer Security), dříve označovaného jako SSL (Secure Sockets Layer). TLS je standardní oborový protokol, který zajišťuje šifrované síťové připojení mezi databázovým serverem a klientskými aplikacemi, a umožňuje tak dodržovat požadavky na dodržování předpisů.
Flexibilní server Azure Database for PostgreSQL podporuje šifrovaná připojení pomocí protokolu TLS 1.2 nebo novější a všechna příchozí připojení s protokolem TLS 1.0 a TLS 1.1 budou odepřena. Pro všechny instance flexibilního serveru Azure Database for PostgreSQL je povolené vynucení připojení TLS.
Poznámka:
Ve výchozím nastavení se vynucuje zabezpečené připojení mezi klientem a serverem. Pokud chcete zakázat protokol TLS/SSL pro připojení k flexibilnímu serveru Azure Database for PostgreSQL, můžete změnit parametr serveru require_secure_transport na VYPNUTO. Verzi protokolu TLS můžete nastavit také nastavením parametrů serveru ssl_max_protocol_version .
Aplikace, které vyžadují ověření certifikátu pro připojení TLS/SSL
V některých případech aplikace k zabezpečenému připojení vyžadují místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority (CA). Flexibilní server Azure Database for PostgreSQL používá globální kořenovou certifikační autoritu DigiCert. Stáhněte si tento certifikát potřebný ke komunikaci přes PROTOKOL SSL od globální kořenové certifikační autority DigiCert a uložte soubor certifikátu do upřednostňovaného umístění. Například tento kurz používá c:\ssl.
Připojení s využitím psql
Pokud jste vytvořili instanci flexibilního serveru Azure Database for PostgreSQL s privátním přístupem (integrace virtuální sítě), budete se muset k serveru připojit z prostředku ve stejné virtuální síti jako váš server. Můžete vytvořit virtuální počítač a přidat ho do virtuální sítě vytvořené pomocí flexibilní instance serveru Azure Database for PostgreSQL.
Pokud jste vytvořili instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem (povolené IP adresy), můžete místní IP adresu přidat do seznamu pravidel brány firewall na vašem serveru.
Následující příklad ukazuje, jak se připojit k serveru pomocí rozhraní příkazového řádku psql. sslmode=verify-full K vynucení ověřování certifikátu TLS/SSL použijte nastavení připojovací řetězec. Předejte do parametru sslrootcert cestu k souboru místního certifikátu.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Poznámka:
Ověřte, že hodnota předaná certifikátu sslrootcert odpovídá cestě k souboru pro certifikát, který jste uložili.
Ujistěte se, že vaše aplikace nebo architektura podporuje připojení TLS.
Některé aplikační architektury, které používají PostgreSQL pro své databázové služby, ve výchozím nastavení nepovolují protokol TLS během instalace. Instance flexibilního serveru Azure Database for PostgreSQL vynucuje připojení TLS, ale pokud aplikace není nakonfigurovaná pro protokol TLS, nemusí se aplikace připojit k vašemu databázovému serveru. V dokumentaci vaší aplikace se dozvíte, jak povolit připojení TLS.