Delen via

TLS configureren in Azure Cosmos DB for PostgreSQL

  • Artikel

VAN TOEPASSING OP: Azure Cosmos DB for PostgreSQL (mogelijk gemaakt door de Citus-database-extensie naar PostgreSQL)

Voor het coördinatorknooppunt moeten clienttoepassingen verbinding maken met TLS (Transport Layer Security). Het afdwingen van TLS tussen de databaseserver en clienttoepassingen helpt gegevens vertrouwelijk te houden tijdens de overdracht. Extra verificatie-instellingen die hieronder worden beschreven, beschermen ook tegen 'man-in-the-middle'-aanvallen.

TLS-verbindingen afdwingen

Toepassingen gebruiken een 'verbindingsreeks' om de doeldatabase en instellingen voor een verbinding te identificeren. Voor verschillende clients zijn verschillende instellingen vereist. Raadpleeg de sectie Verbindingsreeksen voor uw cluster in Azure Portal voor een lijst met verbindingsreeks die door algemene clients worden gebruikt.

De TLS-parameters ssl en variëren op basis van de mogelijkheden van de connector, bijvoorbeeld ssl=true of sslmode=requiresslmode=requiredsslmode .

Zorg ervoor dat uw toepassing of framework TLS-verbindingen ondersteunt

Sommige toepassingsframeworks schakelen TLS niet standaard in voor PostgreSQL-verbindingen. Zonder een beveiligde verbinding kan een toepassing echter geen verbinding maken met het coördinatorknooppunt. Raadpleeg de documentatie van uw toepassing voor meer informatie over het inschakelen van TLS-verbindingen.

Toepassingen waarvoor certificaatverificatie is vereist voor TLS-connectiviteit

In sommige gevallen is voor toepassingen een lokaal certificaatbestand vereist dat is gegenereerd op basis van een vertrouwd CA-certificaatbestand (.cer ca) om veilig verbinding te maken. Het certificaat om verbinding te maken met een Azure Cosmos DB for PostgreSQL bevindt zich op https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem. Download het certificaatbestand en sla het op de gewenste locatie op.

Notitie

Als u de echtheid van het certificaat wilt controleren, kunt u de SHA-256-vingerafdruk controleren met behulp van het openSSL-opdrachtregelprogramma:

openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint

# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

Verbinding maken met behulp van psql

In het volgende voorbeeld ziet u hoe u verbinding maakt met uw coördinatorknooppunt met behulp van het opdrachtregelprogramma psql. Gebruik de sslmode=verify-full instelling verbindingsreeks om verificatie van TLS-certificaten af te dwingen. Geef het pad naar het lokale certificaatbestand door aan de sslrootcert parameter.

Hieronder ziet u een voorbeeld van de psql-verbindingsreeks:

psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"

Tip

Controleer of de waarde die is doorgegeven aan sslrootcert overeenkomt met het bestandspad voor het certificaat dat u hebt opgeslagen.

Volgende stappen

Verhoog de beveiliging verder met firewallregels in Azure Cosmos DB for PostgreSQL.