Condividi tramite

Connettività crittografata con Transport Layer Security nel server flessibile di Database di Azure per PostgreSQL

  • Articolo

SI APPLICA A: Database di Azure per PostgreSQL - Server flessibile

Database di Azure per PostgreSQL server flessibile supporta la connessione delle applicazioni client a Database di Azure per PostgreSQL server flessibile tramite Transport Layer Security (TLS), noto in precedenza come Secure Sockets Layer (SSL). TLS è un protocollo standard del settore che garantisce connessioni di rete crittografate tra il server di database e le applicazioni client, consentendo di rispettare i requisiti di conformità.

Database di Azure per PostgreSQL server flessibile supporta connessioni crittografate tramite Transport Layer Security (TLS 1.2+) e tutte le connessioni in ingresso con TLS 1.0 e TLS 1.1 verranno negate. Per tutte le istanze del server flessibili Database di Azure per PostgreSQL è abilitata l'imposizione delle connessioni TLS.

Nota

Per impostazione predefinita, viene applicata la connettività protetta tra il client e il server. Se si vuole disabilitare TLS/SSL per la connessione a Database di Azure per PostgreSQL server flessibile, è possibile modificare il parametro del server require_secure_transport su OFF. È anche possibile impostare la versione TLS impostando ssl_max_protocol_version parametri del server.

Applicazioni che richiedono la verifica del certificato per la connettività TLS/SSL

In alcuni casi, le applicazioni richiedono un file di certificato locale generato da un file di certificato dell'autorità di certificazione (CA) attendibile per connettersi in modo sicuro. Per altre informazioni sul download dei certificati CA radice, visitare questo documento. Informazioni dettagliate sull'aggiornamento degli archivi certificati delle applicazioni client con nuovi certificati CA radice sono state documentate in questo documento di procedura.

Nota

Database di Azure per PostgreSQL: al momento il server flessibile non supporta i certificati SSL\TLS personalizzati.

Connettersi tramite psql

Se è stata creata l'istanza del server flessibile Database di Azure per PostgreSQL con accesso privato (integrazione rete virtuale), sarà necessario connettersi al server da una risorsa all'interno della stessa rete virtuale del server. È possibile creare una macchina virtuale e aggiungerla alla rete virtuale creata con l'istanza del server flessibile Database di Azure per PostgreSQL.

Se è stata creata l'istanza del server flessibile Database di Azure per PostgreSQL con accesso pubblico (indirizzi IP consentiti), è possibile aggiungere l'indirizzo IP locale all'elenco delle regole del firewall nel server.

L'esempio seguente illustra come connettersi al server usando l'interfaccia della riga di comando psql. Usare l'impostazione sslmode=verify-full stringa di connessione per applicare la verifica del certificato TLS/SSL. Passare il percorso del file del certificato locale al parametro sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Nota

Verificare che il valore passato a sslrootcert corrisponda al percorso del file per il certificato salvato.

Verificare che le connessioni TLS siano supportate dall'applicazione o dal framework

Alcuni framework applicazione che usano PostgreSQL per i servizi di database non abilitano TLS per impostazione predefinita durante l'installazione. L'istanza del server flessibile Database di Azure per PostgreSQL applica connessioni TLS, ma se l'applicazione non è configurata per TLS, l'applicazione potrebbe non riuscire a connettersi al server di database. Consultare la documentazione dell'applicazione per informazioni su come abilitare le connessioni TLS.

Passaggi successivi