Bagikan melalui

Mengonfigurasi TLS di Azure Cosmos DB for PostgreSQL

  • Artikel

BERLAKU UNTUK: Azure Cosmos DB for PostgreSQL (didukung oleh ekstensi database Citus ke PostgreSQL)

Simpul koordinator mengharuskan aplikasi klien terhubung dengan Keamanan Lapisan Transportasi (TLS). Memberlakukan TLS antara server database dan aplikasi klien membantu menjaga kerahasiaan data tetap dalam perjalanan. Pengaturan verifikasi ekstra yang dijelaskan di bawah ini juga melindungi dari serangan "man-in-the-middle".

Memberlakukan koneksi TLS

Aplikasi menggunakan "string koneksi" untuk mengidentifikasi database tujuan dan pengaturan untuk koneksi. Klien yang berbeda memerlukan pengaturan yang berbeda. Untuk melihat daftar string koneksi yang digunakan oleh klien umum, lihat bagian String Koneksi untuk kluster Anda di portal Azure.

Parameter TLS ssl dan sslmode bervariasi berdasarkan kemampuan konektor, misalnya ssl=true atau sslmode=require dan sslmode=required.

Pastikan aplikasi atau kerangka kerja Anda mendukung koneksi TLS

Beberapa kerangka kerja aplikasi tidak mengaktifkan TLS secara default untuk koneksi PostgreSQL. Namun, tanpa koneksi yang aman, aplikasi tidak dapat terhubung ke simpul koordinator. Lihat dokumentasi aplikasi Anda untuk mempelajari cara mengaktifkan koneksi TLS.

Aplikasi yang memerlukan verifikasi sertifikat untuk konektivitas TLS

Dalam beberapa kasus, aplikasi memerlukan file sertifikat lokal yang dibuat dari file sertifikat (.cer) Certificate Authority (CA) tepercaya untuk terhubung dengan aman. Sertifikat untuk menyambungkan ke Azure Cosmos DB for PostgreSQL terletak di https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem. Unduh file sertifikat dan simpan ke lokasi pilihan Anda.

Catatan

Untuk memeriksa keaslian sertifikat, Anda dapat memverifikasi sidik jari SHA-256 menggunakan alat baris perintah OpenSSL:

openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint

# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

Sambungkan menggunakan psql

Contoh berikut menunjukkan cara menyambungkan ke simpul koordinator Anda menggunakan utilitas baris perintah psql. Gunakan pengaturan string koneksi sslmode=verify-full untuk memberlakukan verifikasi sertifikat TLS. Teruskan jalur file sertifikat lokal ke parameter sslrootcert.

Di bawah ini adalah contoh string koneksi psql:

psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"

Tip

Konfirmasikan bahwa nilai yang diteruskan ke sslrootcert cocok dengan jalur file untuk sertifikat yang Anda simpan.

Catatan

Untuk kata sandi, gunakan kata sandi koneksi atau token ID Microsoft Entra Anda. Untuk informasi selengkapnya, lihat opsi autentikasi.

Langkah berikutnya

Tingkatkan keamanan lebih lanjut dengan aturan Firewall di Azure Cosmos DB for PostgreSQL.