次の方法で共有

Azure Database for PostgreSQL - フレキシブル サーバーでのトランスポート層セキュリティを使用した暗号化された接続

  • [アーティクル]

適用対象: Azure Database for PostgreSQL - フレキシブル サーバー

Azure Database for PostgreSQL フレキシブル サーバーでは、トランスポート層セキュリティ (TLS) (旧称 Secure Sockets Layer (SSL)) を使用して、クライアント アプリケーションを Azure Database for PostgreSQL フレキシブル サーバーに接続できます。 TLS は、データベース サーバーとクライアント アプリケーションの間の暗号化されたネットワーク接続を保証する業界標準のプロトコルであり、ユーザーがコンプライアンス要件に準拠できるようにします。

Azure Database for PostgreSQL フレキシブル サーバーによって、トランスポート層セキュリティ (TLS 1.2 以降) を使用した暗号化された接続がサポートされ、TLS 1.0 と TLS 1.1 を使用した受信接続はすべて拒否されます。 Azure Database for PostgreSQL フレキシブル サーバーのすべてのインスタンスで、TLS 接続の適用が有効になります。

Note

既定では、クライアントとサーバーの間で、保護された接続を強制します。 Azure Database for PostgreSQL フレキシブル サーバーへの接続で TLS/SSL を無効にするには、サーバー パラメーター require_secure_transport[オフ] に変更します。 ssl_max_protocol_version サーバー パラメーターを設定することで、TLS バージョンを設定することもできます。

TLS/SSL 接続のために証明書の検証を必要とするアプリケーション

安全に接続するために、信頼された証明機関 (CA) 証明書ファイルから生成されたローカルの証明書ファイルがアプリケーションに必要な場合があります。 ルート CA のダウンロードに関する詳細については、こちらのドキュメントを参照してください。 クライアント アプリケーションの証明書ストアを新しいルート CA 証明書で更新する方法の詳細については、こちらのハウツー ドキュメントに記載されています。

Note

Azure Database for PostgreSQL - フレキシブル サーバーでは、現時点でカスタム SSL\TLS 証明書をサポートしていません。

psql を使用した接続

プライベート アクセス (VNet 統合) を使用して Azure Database for PostgreSQL のフレキシブル サーバー インスタンスを作成した場合は、サーバーと同じ VNet 内のリソースからサーバーに接続する必要があります。 仮想マシンを作成し、Azure Database for PostgreSQL のフレキシブル サーバー インスタンスで作成した VNet に追加できます。

パブリック アクセス (許可された IP アドレス) を使用して Azure Database for PostgreSQL フレキシブル サーバー インスタンスを作成した場合は、ローカル IP アドレスをサーバー上のファイアウォール規則の一覧に追加できます。

次の例は、psql コマンド ライン インターフェイスを使用してサーバーに接続する方法を示しています。 sslmode=verify-full 接続文字列設定を使用して、TLS/SSL 証明書の検証を適用します。 ローカルの証明書ファイルのパスを sslrootcert パラメーターに渡します。

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Note

sslrootcert に渡された値が、保存済みの証明書のファイル パスと一致することを確認します。

アプリケーションまたはフレームワークが TLS 接続をサポートしているかどうかの確認

データベース サービスに PostgreSQL を使用しているアプリケーション フレームワークの中には、インストール時に既定で TLS が有効にならないものもあります。 Azure Database for PostgreSQL フレキシブル サーバー インスタンスにより TLS 接続が適用されますが、アプリケーションが TLS 向けに構成されていない場合、アプリケーションがデータベース サーバーに接続できない可能性があります。 TLS 接続を有効にする方法については、使用しているアプリケーションのドキュメントを参照してください。

次のステップ