Titkosított kapcsolat a Transport Layer Security használatával az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

A rugalmas Azure Database for PostgreSQL-kiszolgáló támogatja az ügyfélalkalmazások rugalmas Azure Database for PostgreSQL-kiszolgálóhoz való csatlakoztatását a Transport Layer Security (TLS) használatával, amely korábban Secure Sockets Layer (SSL) néven ismert. A TLS egy iparági szabvány szerinti protokoll, amely biztosítja az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti titkosított hálózati kapcsolatokat, így Ön megfelelhet a megfelelőségi követelményeknek.

A rugalmas Azure Database for PostgreSQL-kiszolgáló a Transport Layer Security (TLS 1.2+) használatával támogatja a titkosított kapcsolatokat, és a TLS 1.0-s és tLS 1.1-es bejövő kapcsolatait a rendszer megtagadja. Minden rugalmas Azure Database for PostgreSQL-kiszolgálópéldány esetében engedélyezve van a TLS-kapcsolatok kényszerítése.

Feljegyzés

A rendszer alapértelmezés szerint kikényszeríti a biztonságos kapcsolatot az ügyfél és kiszolgáló között. Ha le szeretné tiltani a TLS/SSL protokollt a rugalmas Azure Database for PostgreSQL-kiszolgálóhoz való csatlakozáshoz, akkor a kiszolgáló paraméterét kikapcsolhatja require_secure_transport. A TLS-verziót ssl_max_protocol_version kiszolgálóparaméterek beállításával is beállíthatja.

TLS-/SSL-kapcsolathoz tanúsítvány-ellenőrzést igénylő alkalmazások

Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA) tanúsítványfájlból létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. A rugalmas Azure Database for PostgreSQL-kiszolgáló a DigiCert Global Root CA-t használja. Töltse le ezt a tanúsítványt, amely az SSL-en keresztüli kommunikációhoz szükséges a DigiCert globális legfelső szintű hitelesítésszolgáltatójától, és mentse a tanúsítványfájlt a kívánt helyre. Ez az oktatóanyag például a következőt használja c:\ssl: .

Csatlakozás a psql használatával

Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt hozott létre privát hozzáféréssel (VNet-integráció), akkor a kiszolgálóval azonos virtuális hálózaton belüli erőforrásból kell csatlakoznia a kiszolgálóhoz. Létrehozhat egy virtuális gépet, és hozzáadhatja azt a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányával létrehozott virtuális hálózathoz.

Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt hozott létre nyilvános hozzáféréssel (engedélyezett IP-címekkel), hozzáadhatja a helyi IP-címet a kiszolgáló tűzfalszabályainak listájához.

Az alábbi példa bemutatja, hogyan csatlakozhat a kiszolgálóhoz a psql parancssori felülettel. A TLS/SSL-tanúsítvány ellenőrzésének kényszerítéséhez használja a sslmode=verify-full kapcsolati sztring beállítást. Adja át a helyi tanúsítványfájl elérési útját a sslrootcert paraméternek.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Feljegyzés

Győződjön meg arról, hogy az sslrootcertnek átadott érték megegyezik a mentett tanúsítvány fájlútvonalával.

Győződjön meg arról, hogy az alkalmazás vagy keretrendszer támogatja a TLS-kapcsolatokat

Egyes alkalmazás-keretrendszerek, amelyek a PostgreSQL-t használják az adatbázis-szolgáltatásaikhoz, alapértelmezés szerint nem engedélyezik a TLS-t a telepítés során. A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány kényszeríti a TLS-kapcsolatokat, de ha az alkalmazás nincs TLS-hez konfigurálva, előfordulhat, hogy az alkalmazás nem tud csatlakozni az adatbázis-kiszolgálóhoz. A TLS-kapcsolatok engedélyezéséről az alkalmazás dokumentációjában tájékozódhat.

Következő lépések