Share via

Versleutelde connectiviteit met Transport Layer Security in Azure Database for PostgreSQL - Flexible Server

  • Artikel

VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server

Flexibele Azure Database for PostgreSQL-server biedt ondersteuning voor het verbinden van uw clienttoepassingen met Azure Database for PostgreSQL flexibele server met behulp van Transport Layer Security (TLS), voorheen SSL (Secure Sockets Layer). TLS is een industriestandaardprotocol dat zorgt voor versleutelde netwerkverbindingen tussen uw databaseserver en client-toepassingen, zodat u kunt voldoen aan nalevingsvereisten.

Flexibele Azure Database for PostgreSQL-server ondersteunt versleutelde verbindingen met Tls 1.2+(Transport Layer Security) en alle binnenkomende verbindingen met TLS 1.0 en TLS 1.1 worden geweigerd. Voor alle exemplaren van flexibele Azure Database for PostgreSQL-servers is het afdwingen van TLS-verbindingen ingeschakeld.

Notitie

Standaard wordt beveiligde connectiviteit tussen de client en de server afgedwongen. Als u TLS/SSL wilt uitschakelen om verbinding te maken met een flexibele Azure Database for PostgreSQL-server, kunt u de serverparameter wijzigen require_secure_transport in UIT. U kunt ook TLS-versie instellen door ssl_max_protocol_version serverparameters in te stellen.

Toepassingen waarvoor certificaatverificatie is vereist voor TLS/SSL-connectiviteit

In sommige gevallen is voor toepassingen een lokaal certificaatbestand vereist dat is gegenereerd op basis van een vertrouwd CA-certificaatbestand (Certificate Authority) om veilig verbinding te maken. Azure Database for PostgreSQL flexibele server maakt gebruik van DigiCert Global Root CA. Download dit certificaat dat nodig is om te communiceren via SSL van DigiCert Global Root CA en sla het certificaatbestand op uw voorkeurslocatie op. In deze zelfstudie wordt bijvoorbeeld c:\ssl gebruikt.

Verbinding maken met behulp van psql

Als u uw exemplaar van flexibele Azure Database for PostgreSQL-server hebt gemaakt met privétoegang (VNet-integratie), moet u verbinding maken met uw server vanuit een resource binnen hetzelfde VNet als uw server. U kunt een virtuele machine maken en deze toevoegen aan het VNet dat is gemaakt met uw flexibele Azure Database for PostgreSQL-serverexemplaren.

Als u uw flexibele Server-exemplaar van Azure Database for PostgreSQL hebt gemaakt met openbare toegang (toegestane IP-adressen), kunt u uw lokale IP-adres toevoegen aan de lijst met firewallregels op uw server.

In het volgende voorbeeld ziet u hoe u verbinding maakt met uw server met behulp van de psql-opdrachtregelinterface. Gebruik de sslmode=verify-full verbindingsreeks-instelling om verificatie van TLS/SSL-certificaten af te dwingen. Geef het pad naar het lokale certificaatbestand door aan de sslrootcert parameter.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Notitie

Controleer of de waarde die is doorgegeven aan sslrootcert overeenkomt met het bestandspad voor het certificaat dat u hebt opgeslagen.

Zorg ervoor dat uw toepassing of framework TLS-verbindingen ondersteunt

Sommige toepassingsframeworks die PostgreSQL voor hun databaseservices gebruiken, schakelen TLS niet standaard in tijdens de installatie. Uw flexibele Server-exemplaar van Azure Database for PostgreSQL dwingt TLS-verbindingen af, maar als de toepassing niet is geconfigureerd voor TLS, kan de toepassing geen verbinding maken met uw databaseserver. Raadpleeg de documentatie van uw toepassing voor meer informatie over het inschakelen van TLS-verbindingen.

Volgende stappen