Problembehandlung bei TLS-Verbindungsfehlern

Von Bedeutung

Microsoft hat eine TLS-Zertifikatrotation für die Azure-Datenbank für PostgreSQL gestartet, um die Zertifikate der Zwischen-CA und die resultierende Zertifikatkette zu aktualisieren. Die Stamm-CAs bleiben gleich.

Wenn Ihre Clientkonfiguration die empfohlenen Konfigurationen für TLS verwendet, müssen Sie keine Maßnahmen ergreifen.

Zeitplan für die Zertifikatrotation

• Azure-Regionen West Central US, Ostasien und Uk South haben am 11. November 2025 ihre TLS-Zertifikatrotation gestartet.
• Ab dem 19. Januar 2026 soll diese Zertifikatrotation auf die verbleibenden Regionen (außer China) einschließlich Azure Government ausgedehnt werden.
• Nach dem Frühlingsfest (chinesisches Neujahr) 2026 werden sich auch China-Regionen einer Zertifikatrotation unterziehen, die eine Änderung an einem der Stamm-Zertifizierungsstellen umfasst.

Überprüfen der Clientkonfiguration

Um Ihre Clientkonfiguration vor geplanter Drehung zu überprüfen, stellen Sie sicher, dass Sie die empfohlenen Konfigurationen für TLS implementieren.

Überprüfen des Stammzertifikatspeichers

Stellen Sie sicher, dass der Stammzertifikatspeicher des Clients entweder die mindestens erforderlichen Stammzertifikate oder den vollständigen Satz von Stammzertifikaten enthält.

Vorsicht

Vertrauen Sie nur Azure-Stammzertifizierungsstellenzertifikate im Stammzertifikatspeicher Ihrer Clients. Vertrauen Sie keine zwischengeschalteten Zertifizierungsstellen oder einzelnen Serverzertifikate. Wenn Sie diesen Zertifikaten vertrauen, treten möglicherweise unerwartete Verbindungsprobleme auf, wenn Microsoft die Zertifikatkette aktualisiert oder einzelne Serverzertifikate dreht.

Ermitteln des TLS-Verbindungsstatus

Um den aktuellen TLS-Verbindungsstatus zu ermitteln, laden Sie die Sslinfo-Erweiterung , und rufen Sie dann die ssl_is_used() Funktion auf, um festzustellen, ob TLS verwendet wird. Die Funktion gibt zurück t , wenn die Verbindung TLS verwendet. Andernfalls wird fzurückgegeben. Sie können auch alle Informationen zu Ihrer Azure-Datenbank für die TLS-Verwendung der flexiblen Serverinstanz von PostgreSQL durch Prozess, Client und Anwendung mithilfe der folgenden Abfrage sammeln:

SELECT datname as "Database name", usename as "User name", ssl, client_addr, application_name, backend_type
   FROM pg_stat_ssl
   JOIN pg_stat_activity
   ON pg_stat_ssl.pid = pg_stat_activity.pid
   ORDER BY ssl;

Testen der TLS-Verbindung mithilfe von OpenSSL

Verwenden Sie zum Testen den openssl Befehl, um eine Verbindung mit Ihrer Azure-Datenbank für PostgreSQL herzustellen und die TLS-Zertifikate anzuzeigen.

openssl s_client -starttls postgres -showcerts -connect <your-postgresql-server-name>:5432

Dieser Befehl gibt zahlreiche Protokollinformationen auf niedriger Ebene aus, z. B. die TLS-Version und das Verschlüsselungsverfahren. Sie müssen die Option -starttls postgres verwenden. Andernfalls meldet dieser Befehl, dass kein TLS verwendet wird. Die Verwendung dieses Befehls erfordert mindestens OpenSSL 1.1.1.

Lesereplikate

Wenn die Migration der Stammzertifizierungsstelle zu Microsoft RSA Root CA 2017 erfolgt, können neu erstellte Replikate ein neueres Stammzertifizierungsstellenzertifikat als der primäre Server verwenden, wenn der primäre Server zuvor erstellt wurde. Für Clients, die sslmode=verify-ca und sslmode=verify-full-Konfigurationseinstellungen verwenden, müssen Sie die neuen und vorherigen Root-CA-Zertifikate akzeptieren, bis der Zertifikatswechsel auf neuen und vorhandenen Servern abgeschlossen ist.

Troubleshoot

1. Reproduzieren Sie das Problem.
2. Sammeln Sie Diagnosedaten, z. B. clientseitige Fehlermeldungen, psql-Ausgabe, OpenSSL s_client Ausgabe und Serverprotokolle.
3. Überprüfen Sie die Serverparameter, einschließlich require_secure_transport, ssl_min_protocol_versionund ssl_max_protocol_version.
4. Überprüfen Sie die Zertifikatkette und die Client- sowie sslmode-Einstellungensslrootcert, um Unterschiede in Protokollversionen, Chiffresuiten oder fehlenden oder gedrehten Zertifikaten zu ermitteln.

TLS-Konnektivitätsfehler

1. Identifizieren Sie die Fehlermeldungen, die Ihnen oder Ihren Benutzern angezeigt werden, wenn sie versuchen, auf Ihre Azure-Datenbank für die flexible Serverinstanz von PostgreSQL unter TLS-Verschlüsselung vom Client zuzugreifen. Je nach Anwendung und Plattform können die Fehlermeldungen unterschiedlich sein. In vielen Fällen weisen sie jedoch auf das zugrunde liegende Problem hin.
2. Überprüfen Sie die TLS-Konfiguration des Datenbankservers und des Anwendungsclients, um sicherzustellen, dass sie kompatible Versionen und Verschlüsselungssammlungen unterstützen.
3. Analysieren Sie diskrepanzen oder Lücken zwischen dem Datenbankserver und den TLS-Versionen und Verschlüsselungssammlungen des Clients. Versuchen Sie, sie zu beheben, indem Sie bestimmte Optionen aktivieren oder deaktivieren, Software aktualisieren oder herabstufen oder Zertifikate oder Schlüssel ändern. Beispielsweise müssen Sie je nach Sicherheits- und Kompatibilitätsanforderungen bestimmte TLS-Versionen auf dem Server oder Client aktivieren oder deaktivieren. Möglicherweise müssen Sie TLS 1.0 und TLS 1.1 deaktivieren, die als nicht unsicher und veraltet gelten, und TLS 1.2 und TLS 1.3 aktivieren, die sicherer und moderner sind.
4. Das neueste Zertifikat, das von Microsoft RSA Root CA 2017 ausgestellt wurde, ist in der Kette, die von Digicert Global Root G2 CA gegengezeichnet wurde. Bei einigen Clientbibliotheken von Postgres, die die Einstellung sslmode=verify-full oder sslmode=verify-ca verwenden, kann es zu Verbindungsfehlern mit Stammzertifizierungsstellen-Zertifikaten kommen, die mit Zwischenzertifikaten quersigniert sind. Dies führt zu alternativen Vertrauenspfaden.

Um diese Probleme zu umgehen, fügen Sie dem Clientzertifikatspeicher alle erforderlichen Zertifikate hinzu, oder geben Sie den sslrootcert Parameter explizit an. Oder legen Sie die PGSSLROOTCERT-Umgebungsvariable vom Standardwert %APPDATA%\postgresql\root.crt auf den lokalen Pfad fest, in dem das Stammzertifizierungsstellenzertifikat „Microsoft RSA Root CA 2017“ platziert wird.

Probleme bei der Zertifizierungsstelle

Hinweis

Wenn Sie die Einstellungen sslmode=verify-full oder sslmode=verify-ca in der Verbindungszeichenfolge Ihrer Client-Anwendung nicht verwenden, betreffen Sie die Zertifikatswechsel nicht. Daher müssen Sie die Schritte in diesem Abschnitt nicht ausführen.

1. Erstellen Sie eine Liste von Zertifikaten in Ihrem vertrauenswürdigen Stammspeicher.
   • Sie können beispielsweise programmgesteuert eine Liste vertrauenswürdiger Zertifikate im Java Key Store abrufen.
   • Sie können z. B. den Java-Keystore "cacerts" überprüfen, um festzustellen, ob er bereits erforderliche Zertifikate enthält.
2. Sie verwenden Zertifikatspinning, wenn Sie über einzelne Zwischenzertifikate oder einzelne PostgreSQL-Serverzertifikate verfügen. Diese Konfiguration wird nicht unterstützt.
3. Um das Zertifikats-Pinning zu entfernen, entfernen Sie alle Zertifikate aus Ihrem vertrauenswürdigen Stammspeicher und fügen Sie nur Stammzertifizierungsstellenzertifikate hinzu.

Wenn Probleme auftreten, auch nachdem Sie diese Schritte ausgeführt haben, wenden Sie sich an den Microsoft-Support. Schließen Sie ICA Rotation 2026 in den Titel ein.

Probleme beim Anheften von Zertifikaten

Wenn Sie die Verbindungszeichenfolge der Clientanwendung nicht verwenden oder sslmode=verify-full Einstellungen verwendensslmode=verify-ca, wirken sich die Zertifikatsrotationen nicht auf Sie aus. Daher müssen Sie die Schritte in diesem Abschnitt nicht ausführen.

1. Überprüfen Sie, ob Sie das Anheften von Zertifikaten in Ihrer Anwendung verwenden.
2. Erstellen Sie eine Liste von Zertifikaten in Ihrem vertrauenswürdigen Stammspeicher. Beispiel:
   • Dient zum programmgesteuerten Abrufen einer Liste vertrauenswürdiger Zertifikate im Java Key Store.
   • Überprüfen Sie cacerts java keystore, um festzustellen, ob er bereits erforderliche Zertifikate enthält.
3. Sie verwenden Zertifikats-Pinning, wenn Sie über einzelne Zwischenzertifikate oder einzelne PostgreSQL-Serverzertifikate verfügen.
4. Um das Anheften von Zertifikaten zu entfernen, entfernen Sie alle Zertifikate aus Ihrem vertrauenswürdigen Stammspeicher, und fügen Sie die neuen Zertifikate hinzu.
5. Sie können die aktualisierten Zertifikate aus dem offiziellen Repository von Microsoft herunterladen: Details der Azure-Zertifizierungsstelle.

Wenn Probleme auftreten, auch nachdem Sie diese Schritte ausgeführt haben, wenden Sie sich an den Microsoft-Support. Schließen Sie ICA Rotation 2026 in den Titel ein.

Überprüfen der Zertifikatkette

Alte Kette

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
  • Serverzertifikat

Neue Kette

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
  • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
  • Serverzertifikat

Verwandte Inhalte

• TLS in Azure-Datenbank für PostgreSQL
• So stellen Sie eine Verbindung mit Azure-Datenbank für PostgreSQLusing TLS her