Résoudre les échecs de connexion TLS

Important

Microsoft a démarré une rotation des certificats TLS pour Azure Database pour PostgreSQL afin de mettre à jour les certificats d’autorité de certification intermédiaires et la chaîne de certificats résultante. Les autorités de certification racines restent identiques.

Si votre configuration client utilise les configurations recommandées pour TLS, vous n’avez pas besoin d’effectuer d’action.

Planification de la rotation des certificats

• Les régions Azure USA Centre Ouest, Asie Est et Royaume-Uni Sud ont démarré leur rotation des certificats TLS le 11 novembre 2025.
• À compter du 19 janvier 2026, cette rotation des certificats est prévue pour s’étendre aux régions restantes (à l’exception de la Chine), y compris Azure Government.
• Après le Festival de printemps (Nouvel an chinois) 2026, les régions chinoises effectueront également une rotation de certificats qui inclut une modification de l’une des autorités de certification racine.

Valider la configuration du client

Pour valider la configuration de votre client avant toute rotation planifiée, veillez à implémenter les configurations recommandées pour TLS.

Vérifiez votre dépôt de certificats racine

Assurez-vous que le magasin de certificats racine de votre client contient les certificats racines minimum requis ou l’ensemble complet de certificats racines.

Caution

Ne faites confiance qu’aux certificats racine d'Azure dans le dépôt de certificats racine des clients. N’approuvez pas les autorités de certification intermédiaires ou les certificats de serveur individuels. Si vous approuvez ces certificats, vous pouvez rencontrer des problèmes de connexion inattendus lorsque Microsoft met à jour la chaîne de certificats ou fait pivoter des certificats serveur individuels.

Déterminer l’état de la connexion TLS

Pour déterminer l’état de votre connexion TLS actuelle, chargez l’extension sslinfo , puis appelez la ssl_is_used() fonction pour déterminer si TLS est utilisé. La fonction retourne t si la connexion utilise TLS. Sinon, fest retourné. Vous pouvez également collecter toutes les informations relatives à l’utilisation TLS de votre instance de serveur flexible Azure Database pour PostgreSQL par processus, client et application à l’aide de la requête suivante :

SELECT datname as "Database name", usename as "User name", ssl, client_addr, application_name, backend_type
   FROM pg_stat_ssl
   JOIN pg_stat_activity
   ON pg_stat_ssl.pid = pg_stat_activity.pid
   ORDER BY ssl;

Tester la connexion TLS à l’aide d’OpenSSL

Pour les tests, utilisez la openssl commande pour vous connecter à votre instance Azure Database pour PostgreSQL et afficher les certificats TLS.

openssl s_client -starttls postgres -showcerts -connect <your-postgresql-server-name>:5432

Cette commande imprime des informations de protocole de bas niveau, telles que la version de TLS et le chiffrement. Vous devez utiliser l'option -starttls postgres. Dans le cas contraire, cette commande signale qu’aucun protocole TLS n’est utilisé. L’utilisation de cette commande nécessite au moins OpenSSL 1.1.1.

Réplicas en lecture

Lorsque la migration de l’autorité de certification racine se produit vers l’autorité de certification racine Microsoft RSA 2017, les réplicas nouvellement créés peuvent utiliser un certificat d’autorité de certification racine plus récent que le serveur principal si le serveur principal a été créé précédemment. Pour les clients utilisant les paramètres de configuration sslmode=verify-ca et sslmode=verify-full, vous devez accepter les certificats racines de l’autorité de certification (CA) nouveaux et préexistants jusqu’à ce que la rotation soit terminée sur les serveurs actuels et nouveaux.

Troubleshoot

1. Reproduire le problème.
2. Collectez les données de diagnostic, telles que les messages d’erreur côté client, la sortie psql, la sortie OpenSSL s_client et les journaux du serveur.
3. Vérifiez les paramètres du serveur, notamment require_secure_transport, ssl_min_protocol_versionet ssl_max_protocol_version.
4. Vérifiez la chaîne de certificats et les paramètres du client sslmode et sslrootcert pour identifier les incompatibilités dans les versions du protocole, les suites de chiffrement, ou les certificats manquants ou pivotés.

Erreurs de connectivité TLS

1. Identifiez les messages d’erreur que vous ou vos utilisateurs voyez lorsqu’ils essaient d’accéder à votre instance de serveur flexible Azure Database pour PostgreSQL sous chiffrement TLS à partir du client. Les messages d’erreur peuvent être différents en fonction de l’application de et la plateforme. Dans de nombreux cas, ils pointent vers le problème sous-jacent.
2. Vérifiez la configuration TLS du serveur de base de données et du client d’application pour vous assurer qu’ils prennent en charge les versions compatibles et les suites de chiffrement.
3. Analysez les différences ou les lacunes entre le serveur de base de données et les versions TLS du client et les suites de chiffrement. Essayez de les résoudre en activant ou en désactivant certaines options, en mettant à niveau ou en rétrogradant des logiciels, ou en modifiant des certificats ou des clés. Par exemple, vous devrez peut-être activer ou désactiver des versions TLS spécifiques sur le serveur ou le client, en fonction des exigences de sécurité et de compatibilité. Vous devrez peut-être désactiver TLS 1.0 et TLS 1.1, qui sont considérés comme non sécurisés et déconseillés, et activer TLS 1.2 et TLS 1.3, qui sont plus sécurisés et modernes.
4. Le certificat le plus récent émis par l’autorité de certification racine Microsoft RSA 2017 est intermédiaire dans la chaîne signée par Digicert Global Root G2 CA. Certaines des bibliothèques de client Postgres, lors de l’utilisation du paramètre sslmode=verify-full ou sslmode=verify-ca, peuvent rencontrer des échecs de connexion avec des certificats d’autorité de certification racine qui sont signés avec des certificats intermédiaires. Le résultat est la présence d’autres chemins d’accès d’approbation.

Pour contourner ces problèmes, ajoutez tous les certificats nécessaires au magasin de certificats client ou spécifiez explicitement le sslrootcert paramètre. Ou alors, modifiez la valeur par défaut (PGSSLROOTCERT) de la variable d’environnement %APPDATA%\postgresql\root.crt et affectez-lui le chemin d’accès local où le certificat d’autorité de certification racine Microsoft RSA Root CA 2017 est placé.

Problèmes liés à l’autorité de certification

Note

Si vous n'utilisez pas les paramètres sslmode=verify-full ou sslmode=verify-ca dans votre chaîne de connexion d'application cliente, les rotations de certificat ne vous affectent pas. Par conséquent, vous n’avez pas besoin de suivre les étapes décrites dans cette section.

1. Créez une liste de certificats dans votre magasin racine de confiance.
   • Par exemple, vous pouvez obtenir la liste des certificats approuvés dans le magasin de clés Java par programme.
   • Par exemple, vous pouvez vérifier le magasin de clés Java cacerts pour voir s’il contient déjà des certificats requis.
2. Vous utilisez l’épinglage de certificat si vous avez des certificats intermédiaires individuels ou des certificats de serveur PostgreSQL individuels. Cette configuration n’est pas prise en charge.
3. Pour supprimer l’épinglage de certificat, supprimez tous les certificats de votre répertoire des autorités racines de confiance et ajoutez uniquement des certificats d’autorité de certification racine.

Si vous rencontrez des problèmes même après ces étapes, contactez le support Microsoft. Incluez ICA Rotation 2026 dans le titre.

Problèmes d’épinglage de certificat

Si vous n'utilisez pas les paramètres sslmode=verify-full ou sslmode=verify-ca dans votre chaîne de connexion de l'application cliente, les rotations de certificat ne vous affectent pas. Par conséquent, vous n’avez pas besoin de suivre les étapes décrites dans cette section.

1. Vérifiez si vous utilisez la validation de certificat dans votre application.
2. Créez une liste de certificats dans votre magasin racine approuvé. Par exemple:
   • Obtenez la liste des certificats approuvés dans le magasin de clés Java par programmation.
   • Vérifiez le magasin de clés Java cacerts pour voir s’il contient déjà des certificats requis.
3. Vous utilisez l’épinglage de certificat si vous avez des certificats intermédiaires individuels ou des certificats de serveur PostgreSQL individuels.
4. Pour supprimer l’épinglage de certificat, retirez tous les certificats de votre répertoire racine de confiance et ajoutez les nouveaux certificats.
5. Vous pouvez télécharger les certificats mis à jour à partir du dépôt officiel de Microsoft : détails de l’autorité de certification Azure.

Si vous rencontrez des problèmes même après ces étapes, contactez le support Microsoft. Incluez la rotation ICA 2026 dans le titre.

Vérifier la chaîne de certificats

Ancienne chaîne

• DigiCert Global Root G2
  • Microsoft Azure Autorité de Certification Émettrice RSA TLS 03 / 04 / 07 / 08
  • Certificat serveur

Nouvelle chaîne

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
  • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
  • Certificat serveur

Contenu connexe

• TLS dans Azure Database pour PostgreSQL
• Comment se connecter à Azure Database pour PostgreSQLusing TLS