Aktualisieren von Client-TLS-Zertifikaten für Anwendungsclients mit Azure Database for PostgreSQL – Flexibler Server

GILT FÜR: Azure Database for PostgreSQL – Flexibler Server

Importieren von Stamm-Zertifizierungsstellenzertifikaten im Java-Keystore auf dem Client für Szenarien zum Anheften von Zertifikaten

Benutzerdefinierte Java-Anwendungen verwenden einen Standard-Keystore namens cacerts, der vertrauenswürdige Zertifizierungsstellenzertifikate(ZS-Zertifikate) enthält. Es wird auch häufig als Java-Vertrauensspeicher bezeichnet. Eine Zertifikatdatei mit dem Namen cacerts befindet sich im Verzeichnis für Sicherheitseigenschaften „java.home\lib\security“, wobei „java.home“ das Verzeichnis der Runtimeumgebung ist (das Verzeichnis „jre“ im SDK oder das Verzeichnis der obersten Ebene von Java™ 2 Runtime Environment). Sie können die folgenden Anweisungen verwenden, um Stamm-Zertifizierungsstellenzertifikate auf dem Client für Szenarien zum Anheften von Clientzertifikaten mit Azure Database für PostgreSQL – Flexibler Server zu aktualisieren:

1. Überprüfen Sie den Java-Keystore cacerts, um festzustellen, ob er bereits erforderliche Zertifikate enthält. Sie können Zertifikate im Java-Keystore mithilfe des folgenden Befehls auflisten:

PowerShell

  keytool -list -v -keystore ..\lib\security\cacerts > outputfile.txt

Wenn die erforderlichen Zertifikate nicht im Java-Keystore auf dem Client vorhanden sind, wie in der Ausgabe überprüft werden kann, sollten Sie mit den folgenden Anweisungen fortfahren:

1. Erstellen Sie eine Sicherungskopie Ihres benutzerdefinierten Keystores.

2. Laden Sie Zertifikate herunter und speichern Sie diese lokal, wo Sie auf diese verweisen können.

3. Generieren Sie einen kombinierten ZS-Zertifikatspeicher mit allen benötigten Stamm-Zertifizierungsstellenzertifikaten. Das folgende Beispiel zeigt die Verwendung von DefaultJavaSSLFactory für PostgreSQL-JDBC-Benutzer.

   PowerShell

       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootG2.crt.pem   -keystore truststore -storepass password -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert2  -file "D:\ Microsoft ECC Root Certificate Authority 2017.crt.pem" -keystore truststore -storepass password  -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootCA.crt.pem   -keystore truststore -storepass password -noprompt
   

4. Ersetzen Sie die ursprüngliche Keystore-Datei durch die neu generierte Datei:

   Java

   System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
   System.setProperty("javax.net.ssl.trustStorePassword","password");
   

5. Ersetzen Sie die ursprüngliche PEM-Datei der Stammzertifizierungsstelle durch die kombinierte Datei der Stammzertifizierungsstelle, und starten Sie die Anwendung bzw. den Client neu.

Weitere Informationen zum Konfigurieren von Clientzertifikaten mit dem PostgreSQL-JDBC-Treiber finden Sie in dieser Dokumentation.

Hinweis

Um Zertifikate in Clientzertifikatspeicher zu importieren, müssen Sie möglicherweise CRT-Dateien für Zertifikate in das PEM-Format konvertieren. Sie können OpenSSL-Hilfsprogramm verwenden, um diese Dateikonvertierungen durchzuführen.

Programmgesteuertes Abrufen einer Liste vertrauenswürdiger Zertifikate im Java-Keystore

Wie oben erwähnt, speichert Java standardmäßig die vertrauenswürdigen Zertifikate in einer speziellen Datei namens cacerts, die sich im Java-Installationsordner auf dem Client befindet. Im folgenden Beispiel wird cacerts zuerst gelesen und dann in das KeyStore-Objekt geladen:

Java

private KeyStore loadKeyStore() {
    String relativeCacertsPath = "/lib/security/cacerts".replace("/", File.separator);
    String filename = System.getProperty("java.home") + relativeCacertsPath;
    FileInputStream is = new FileInputStream(filename);
    KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
    String password = "changeit";
    keystore.load(is, password.toCharArray());

    return keystore;
}

Das Standardkennwort für cacerts ist changeit, sollte jedoch auf einem echten Client anders lauten, da Administratoren das Ändern des Kennworts unmittelbar nach der Java-Installation empfehlen. Nachdem das KeyStore-Objekt geladen wurde, können Sie die PKIXParameters-Klasse verwenden, um vorhandene Zertifikate zu lesen.

Java

public void whenLoadingCacertsKeyStore_thenCertificatesArePresent() {
    KeyStore keyStore = loadKeyStore();
    PKIXParameters params = new PKIXParameters(keyStore);
    Set<TrustAnchor> trustAnchors = params.getTrustAnchors();
    List<Certificate> certificates = trustAnchors.stream()
      .map(TrustAnchor::getTrustedCert)
      .collect(Collectors.toList());

    assertFalse(certificates.isEmpty());
}

Aktualisieren von Stamm-Zertifizierungsstellenzertifikaten bei Verwendung von Clients in Azure App Service mit Azure Database for PostgreSQL – Flexibler Server für Szenarien zum Anheften von Zertifikaten

Für Azure App Service-Instanzen, die eine Verbindung mit Azure Database for PostgreSQL herstellen, gibt es zwei mögliche Szenarien für die Aktualisierung von Clientzertifikaten, je nachdem, wie Sie SSL mit Ihrer in Azure App Service bereitgestellten Anwendung verwenden.

• Neue Zertifikate werden auf Plattformebene zu App Service hinzugefügt, bevor Änderungen in Azure Database for PostgreSQL – Flexible Server vorgenommen werden. Wenn Sie die SSL-Zertifikate verwenden, die in der App Service-Plattform in Ihrer Anwendung enthalten sind, ist keine Aktion erforderlich. Weitere Informationen finden Sie in der Dokumentation zu Azure App Service.
• Wenn Sie den Pfad zur SSL-Zertifikatsdatei explizit in Ihren Code einschließen, müssen Sie das neue Zertifikat herunterladen und den Code so aktualisieren, dass das neue Zertifikat verwendet wird. Ein gutes Beispiel für dieses Szenario: Wenn Sie benutzerdefinierte Container in App Service so verwenden, wie in der App Service-Dokumentation zu lesen ist.

Aktualisieren von Stamm-Zertifizierungsstellenzertifikaten bei Verwendung von Clients in Azure Kubernetes Service (AKS) mit Azure Database for PostgreSQL – Flexibler Server für Szenarien zum Anheften von Zertifikaten

Wenn Sie versuchen, mithilfe von in Azure Kubernetes Service (AKS) gehosteten Anwendungen eine Verbindung mit Azure Database for PostgreSQL herzustellen, ähnelt dies dem Zugriff über eine dedizierte Kundenhostumgebung. Die entsprechenden Schritte finden Sie hier.

Aktualisieren von Stamm-Zertifizierungsstellenzertifikaten für .NET-Benutzer (Npgsql) unter Windows mit Azure Database for PostgreSQL – Flexibler Server für Szenarien zum Anheften von Zertifikaten

Stellen Sie für .NET (Npgsql)-Benutzer unter Windows eine Verbindung mit Azure Database for PostgreSQL – Flexible Server sicher, dass alle drei, nämlich die Microsoft RSA Root Certificate Authority 2017, DigiCert Global Root G2 sowie Digicert Global Root CA, im Windows Certificate Store, Trusted Root Certification Authorities vorhanden sind. Ist eines der Zertifikate nicht vorhanden, importieren Sie das fehlende Zertifikat.

Aktualisieren von Stamm-Zertifizierungsstellenzertifikaten für andere Clients für Szenarien zum Anheften von Zertifikaten

Für andere PostgreSQL-Clientbenutzer können Sie zwei ZS-Zertifikatsdateien wie folgt zusammenführen.

Output

-----BEGIN CERTIFICATE-----
(Root CA1: DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: Microsoft ECC Root Certificate Authority 2017.crt.pem)
-----END CERTIFICATE-----

Zugehöriger Inhalt

• Sicherheit in Azure Database for PostgreSQL – Flexible Server.