Conectividad cifrada con Seguridad de la capa de transporte en Azure Database for PostgreSQL: Servidor flexible

  • Artículo

SE APLICA A: Azure Database for PostgreSQL: servidor flexible

El servidor flexible de Azure Database for PostgreSQL admite la conexión de las aplicaciones cliente al servidor flexible de Azure Database for PostgreSQL mediante la seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL). TLS es un protocolo estándar del sector que garantiza conexiones de red cifradas entre el servidor de bases de datos y las aplicaciones cliente, lo que le permite ajustarse a los requisitos de cumplimiento.

El servidor flexible de Azure Database for PostgreSQL admite conexiones cifradas mediante la seguridad de la capa de transporte (TLS 1.2 y versiones posteriores) y se denegarán todas las conexiones entrantes con TLS 1.0 y TLS 1.1. Para todas las instancias de servidor flexible de Azure Database for PostgreSQL, está habilitada la aplicación de las conexiones TLS.

Nota:

De forma predeterminada, se aplica la conectividad protegida entre el cliente y el servidor. Si desea deshabilitar TLS/SSL para conectarse al servidor flexible de Azure Database for PostgreSQL, puede cambiar el parámetro de servidor require_secure_transport a DESACTIVADO. También puede establecer la versión de TLS estableciendo ssl_max_protocol_version parámetros de servidor.

Aplicaciones que requieren la verificación de certificados para la conectividad TLS/SSL

En algunos casos, las aplicaciones requieren un archivo de certificado local generado a partir de un archivo de certificado de una entidad de certificación (CA) de confianza para conectarse de forma segura. El servidor flexible de Azure Database for PostgreSQL usa la ENTIDAD de certificación raíz global de DigiCert. Descargue este certificado necesario para comunicarse a través de SSL desde DigiCert Global Root CA y guarde el archivo de certificado en su ubicación preferida. Por ejemplo, en este tutorial se usa c:\ssl.

Conexión mediante psql

Si creó la instancia de servidor flexible de Azure Database for PostgreSQL con acceso privado (integración con red virtual), deberá conectarse al servidor desde un recurso dentro de la misma red virtual que el servidor. Puede crear una máquina virtual y agregarla a la red virtual creada con la instancia de servidor flexible de Azure Database for PostgreSQL.

Si creó la instancia de servidor flexible de Azure Database for PostgreSQL con acceso público (direcciones IP permitidas), puede agregar la dirección IP local a la lista de reglas de firewall en el servidor.

En el ejemplo siguiente se muestra cómo conectarse al servidor mediante la interfaz de la línea de comandos psql. Use la configuración de la cadena de conexión sslmode=verify-full para aplicar la comprobación del certificado TLS/SSL. Pase la ruta de acceso al archivo del certificado local al parámetro sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Nota

Confirme que el valor pasado a sslrootcert coincide con la ruta de acceso al archivo del certificado que guardó.

Comprobación de que la aplicación o el marco de trabajo admiten conexiones TLS

Algunos marcos de trabajo de aplicaciones que usan PostgreSQL en los servicios de bases de datos no habilitan TLS de manera predeterminada durante la instalación. La instancia de servidor flexible de Azure Database for PostgreSQL aplica conexiones TLS, pero si la aplicación no está configurada para TLS, es posible que la aplicación no se conecte al servidor de bases de datos. Consulte la documentación de la aplicación para aprender a habilitar las conexiones TLS.

Pasos siguientes