Conectividade criptografada usando o TLS (Transport Layer Security) no Banco de Dados do Azure para PostgreSQL – Servidor Flexível

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL – Servidor Flexível

O servidor flexível do Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seus aplicativos cliente ao servidor flexível do Banco de Dados do Azure para PostgreSQL usando TLS (Transport Layer Security), anteriormente conhecido como SSL (Secure Sockets Layer). O TLS é um protocolo padrão do setor que garante conexões de rede criptografadas entre o servidor de banco de dados e os aplicativos cliente, permitindo que você atenda aos requisitos de conformidade.

O servidor flexível do Banco de Dados do Azure para PostgreSQL oferece suporte a conexões criptografadas usando TLS 1.2+ (Transport Layer Security) e todas as conexões de entrada com TLS 1.0 e TLS 1.1 serão negadas. Para todas as instâncias de servidor flexíveis do Banco de Dados do Azure para PostgreSQL, a imposição de conexões TLS está habilitada.

Observação

Por padrão, a conectividade protegida entre o cliente e o servidor é imposta. Se desejar desabilitar o TLS/SSL para conexão com o servidor flexível do Banco de Dados do Azure para PostgreSQL, você poderá alterar o parâmetro do servidor require_secure_transport para OFF. Defina também a versão do TLS definindo ssl_max_protocol_version como parâmetros do servidor.

Aplicativos que exigem a verificação de certificado para conectividade TLS/SSL

Em alguns casos, os aplicativos exigem um arquivo de certificado local gerado de um arquivo de certificado de uma Autoridade de Certificação (CA) confiável para se conectar com segurança. O servidor flexível do Banco de Dados do Azure para PostgreSQL usa a CA raiz global da DigiCert. Baixe esse certificado necessário para se comunicar por SSL da AC raiz global do DigiCert e salve o arquivo de certificado em seu local preferido. Por exemplo, este tutorial usa c:\ssl.

Conecte-se usando psql

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com acesso privado (integração de rede virtual), precisará se conectar ao servidor a partir de um recurso na mesma rede virtual que o servidor. Você pode criar uma máquina virtual e adicioná-la à rede virtual criada com sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com acesso público (endereços IP permitidos), poderá adicionar seu endereço IP local à lista de regras de firewall no servidor.

O exemplo a seguir mostra como se conectar ao servidor usando a interface de linha de comando do PSQL. Use a configuração de cadeia de conexão sslmode=verify-full para impor a verificação de certificado TLS/SSL. Passe o caminho do arquivo de certificado local para o parâmetro sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Observação

Confirme se o valor passado para sslrootcert corresponde ao caminho do arquivo para o certificado que você salvou.

Verificar se o seu aplicativo ou sua estrutura oferece suporte a conexões TLS

Algumas estruturas do aplicativos que usam o PostgreSQL para serviços de banco de dados não habilitam o protocolo TSL por padrão durante a instalação. Sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL impõe conexões TLS, mas se o aplicativo não estiver configurado para TLS, o aplicativo poderá falhar ao se conectar ao servidor de banco de dados. Confira a documentação de seu aplicativo para saber como habilitar conexões TLS.

Próximas etapas