Verschlüsselte Konnektivität mit Transport Layer Security in Azure Database for PostgreSQL: Flexible Server
GILT FÜR:
Azure Database for PostgreSQL – Flexible Server
Azure Database for PostgreSQL flexible server supports connecting your client applications to Azure Database for PostgreSQL flexible server using Transport Layer Security (TLS), früher bekannt als Secure Sockets Layer (SSL). TLS ist ein Standardprotokoll der Branche, das verschlüsselte Netzwerkverbindungen zwischen dem Datenbankserver und Clientanwendungen gewährleistet, sodass Sie Konformitätsanforderungen einhalten können.
Azure Database for PostgreSQL flexible Server unterstützt verschlüsselte Verbindungen mit Transport Layer Security (TLS 1.2+) und alle eingehenden Verbindungen mit TLS 1.0 und TLS 1.1 werden verweigert. Für alle Azure Database for PostgreSQL flexible Serverinstanzen ist die Erzwingung von TLS-Verbindungen aktiviert.
Hinweis
Standardmäßig wird eine sichere Konnektivität zwischen dem Client und dem Server erzwungen. Wenn Sie TLS/SSL deaktivieren möchten, um eine Verbindung mit Azure Database for PostgreSQL flexiblen Server herzustellen, können Sie den Serverparameter require_secure_transport in OFF ändern. Sie können die TLS-Version auch festlegen, indem Sie die ssl_max_protocol_version-Serverparameter festlegen.
Anwendungen, die eine Zertifikatüberprüfung für TLS/SSL-Verbindungen erfordern
In einigen Fällen erfordern Anwendungen eine lokale Zertifikatdatei, die auf der Grundlage der Zertifikatdatei einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) generiert wurde, um eine sichere Verbindung herzustellen. Azure Database for PostgreSQL flexible Server verwendet DigiCert Global Root CA. Laden Sie dieses für die Kommunikation über SSL erforderliche Zertifikat von DigiCert Global Root CA herunter, und speichern Sie die Zertifikatsdatei an Ihrem bevorzugten Speicherort. In diesem Tutorial wird beispielsweise c:\ssl verwendet.
Herstellen einer Verbindung mit psql
Wenn Sie Ihre Azure-Datenbank für flexible Serverinstanz für PostgreSQL mit privatem Zugriff (VNet-Integration) erstellt haben, müssen Sie über eine Ressource innerhalb desselben VNet wie Ihr Server eine Verbindung mit Ihrem Server herstellen. Sie können einen virtuellen Computer erstellen und dem VNet hinzufügen, das mit Ihrer Azure-Datenbank für flexible Serverinstanz von PostgreSQL erstellt wurde.
Wenn Sie Ihre Azure-Datenbank für flexible Serverinstanz für PostgreSQL mit öffentlichem Zugriff (zulässige IP-Adressen) erstellt haben, können Sie Ihre lokale IP-Adresse zur Liste der Firewallregeln auf Ihrem Server hinzufügen.
Das folgende Beispiel zeigt, wie Sie einen Server mithilfe der psql-Befehlszeilenschnittstelle verbinden können. Verwenden Sie die Einstellung sslmode=verify-full für die Verbindungszeichenfolge, um die Überprüfung des TLS-/SSL-Zertifikats zu erzwingen. Übergeben Sie den Pfad der lokalen Zertifikatdatei an den Parameter sslrootcert.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Hinweis
Vergewissern Sie sich, dass der Wert, den Sie an sslrootcert übergeben haben, dem Dateipfad für das von Ihnen gespeicherte Zertifikat entspricht.
Sicherstellen, dass die Anwendung oder das Framework TLS-Verbindungen unterstützt
Einige Anwendungsframeworks, die PostgreSQL für ihre Datenbankdienste verwenden, aktivieren TLS nicht standardmäßig während der Installation. Ihre Azure-Datenbank für Die flexible Serverinstanz von PostgreSQL erzwingt TLS-Verbindungen, aber wenn die Anwendung nicht für TLS konfiguriert ist, kann die Anwendung keine Verbindung mit Ihrem Datenbankserver herstellen. Lesen Sie in der Dokumentation Ihrer Anwendung nach, wie TLS-Verbindungen aktiviert werden.