TLS konfigurálása az Azure Cosmos DB for PostgreSQL-ben
A KÖVETKEZŐKRE VONATKOZIK: Azure Cosmos DB for PostgreSQL (a Citus adatbázisbővítménye a PostgreSQL-re)
A koordinátor csomópont megköveteli, hogy az ügyfélalkalmazások csatlakozzanak a Transport Layer Securityhez (TLS). A TLS kényszerítése az adatbázis-kiszolgáló és az ügyfélalkalmazások között segít az adatok bizalmas átvitelében. Az alábbiakban ismertetett további ellenőrzési beállítások a "középen belüli" támadások ellen is védelmet nyújtanak.
TLS-kapcsolatok kényszerítése
Az alkalmazások egy "kapcsolati sztring" használatával azonosítják a céladatbázist és a kapcsolat beállításait. A különböző ügyfelek eltérő beállításokat igényelnek. A gyakori ügyfelek által használt kapcsolati sztring listájának megtekintéséhez tekintse meg a fürt Kapcsolati sztringek szakaszát az Azure Portalon.
A TLS-paraméterek ssl
és sslmode
az összekötő képességeitől függően változnak, például ssl=true
vagy sslmode=require
sslmode=required
.
Győződjön meg arról, hogy az alkalmazás vagy keretrendszer támogatja a TLS-kapcsolatokat
Egyes alkalmazás-keretrendszerek alapértelmezés szerint nem engedélyezik a TLS-t a PostgreSQL-kapcsolatokhoz. Biztonságos kapcsolat nélkül azonban egy alkalmazás nem tud csatlakozni a koordinátor csomóponthoz. A TLS-kapcsolatok engedélyezéséről az alkalmazás dokumentációjában tájékozódhat.
A TLS-kapcsolathoz tanúsítvány-ellenőrzést igénylő alkalmazások
Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA-) tanúsítványfájlból (.cer) létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. Az Azure Cosmos DB for PostgreSQL-hez való csatlakozáshoz szükséges tanúsítvány a következő helyen https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pemtalálható: . Töltse le a tanúsítványfájlt, és mentse a kívánt helyre.
Feljegyzés
A tanúsítvány hitelességének ellenőrzéséhez ellenőrizze az SHA-256 ujjlenyomatát az OpenSSL parancssori eszközzel:
openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint
# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
Csatlakozás psql használatával
Az alábbi példa bemutatja, hogyan csatlakozhat a koordinátor csomóponthoz a psql parancssori segédprogrammal. A TLS-tanúsítvány ellenőrzésének kényszerítéséhez használja a sslmode=verify-full
kapcsolati sztring beállítást. Adja át a helyi tanúsítványfájl elérési útját a sslrootcert
paraméternek.
Az alábbiakban egy példa látható a psql kapcsolati sztring:
psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"
Tipp.
Győződjön meg arról, hogy az sslrootcert
paraméternek átadott érték megegyezik a mentett tanúsítvány fájlútvonalával.
Következő lépések
Az Azure Cosmos DB for PostgreSQL tűzfalszabályaival tovább növelheti a biztonságot.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: