Titkosított kapcsolat a Transport Layer Security használatával az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló
A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló
A rugalmas Azure Database for PostgreSQL-kiszolgáló támogatja az ügyfélalkalmazások rugalmas Azure Database for PostgreSQL-kiszolgálóhoz való csatlakoztatását a Transport Layer Security (TLS) használatával, amely korábban Secure Sockets Layer (SSL) néven ismert. A TLS egy iparági szabvány szerinti protokoll, amely biztosítja az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti titkosított hálózati kapcsolatokat, így Ön megfelelhet a megfelelőségi követelményeknek.
A rugalmas Azure Database for PostgreSQL-kiszolgáló a Transport Layer Security (TLS 1.2+) használatával támogatja a titkosított kapcsolatokat, és a TLS 1.0-s és tLS 1.1-es bejövő kapcsolatait a rendszer megtagadja. Minden rugalmas Azure Database for PostgreSQL-kiszolgálópéldány esetében engedélyezve van a TLS-kapcsolatok kényszerítése.
Feljegyzés
A rendszer alapértelmezés szerint kikényszeríti a biztonságos kapcsolatot az ügyfél és kiszolgáló között. Ha le szeretné tiltani a TLS/SSL protokollt a rugalmas Azure Database for PostgreSQL-kiszolgálóhoz való csatlakozáshoz, akkor a kiszolgáló paraméterét kikapcsolhatja require_secure_transport. A TLS-verziót ssl_max_protocol_version kiszolgálóparaméterek beállításával is beállíthatja.
TLS-/SSL-kapcsolathoz tanúsítvány-ellenőrzést igénylő alkalmazások
Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA) tanúsítványfájlból létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. A rugalmas Azure Database for PostgreSQL-kiszolgáló a DigiCert Global Root CA-t használja. Töltse le ezt a tanúsítványt, amely az SSL-en keresztüli kommunikációhoz szükséges a DigiCert globális legfelső szintű hitelesítésszolgáltatójától, és mentse a tanúsítványfájlt a kívánt helyre. Ez az oktatóanyag például a következőt használja c:\ssl
: .
Csatlakozás a psql használatával
Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt hozott létre privát hozzáféréssel (VNet-integráció), akkor a kiszolgálóval azonos virtuális hálózaton belüli erőforrásból kell csatlakoznia a kiszolgálóhoz. Létrehozhat egy virtuális gépet, és hozzáadhatja azt a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányával létrehozott virtuális hálózathoz.
Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt hozott létre nyilvános hozzáféréssel (engedélyezett IP-címekkel), hozzáadhatja a helyi IP-címet a kiszolgáló tűzfalszabályainak listájához.
Az alábbi példa bemutatja, hogyan csatlakozhat a kiszolgálóhoz a psql parancssori felülettel. A TLS/SSL-tanúsítvány ellenőrzésének kényszerítéséhez használja a sslmode=verify-full
kapcsolati sztring beállítást. Adja át a helyi tanúsítványfájl elérési útját a sslrootcert
paraméternek.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Feljegyzés
Győződjön meg arról, hogy az sslrootcertnek átadott érték megegyezik a mentett tanúsítvány fájlútvonalával.
Győződjön meg arról, hogy az alkalmazás vagy keretrendszer támogatja a TLS-kapcsolatokat
Egyes alkalmazás-keretrendszerek, amelyek a PostgreSQL-t használják az adatbázis-szolgáltatásaikhoz, alapértelmezés szerint nem engedélyezik a TLS-t a telepítés során. A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány kényszeríti a TLS-kapcsolatokat, de ha az alkalmazás nincs TLS-hez konfigurálva, előfordulhat, hogy az alkalmazás nem tud csatlakozni az adatbázis-kiszolgálóhoz. A TLS-kapcsolatok engedélyezéséről az alkalmazás dokumentációjában tájékozódhat.
Következő lépések
- Azure Database for PostgreSQL – Rugalmas kiszolgálói virtuális hálózat létrehozása és kezelése az Azure CLI használatával.
- További információ a rugalmas Azure Database for PostgreSQL-kiszolgáló hálózatkezeléséről
- További információ az Azure Database for PostgreSQL – Rugalmas kiszolgálói tűzfalszabályokról