Atualizar certificados de cliente de aplicativo

Ao conectar aplicativos ao Banco de Dados do Azure para PostgreSQL, o cliente de aplicativo deve instalar certificados raiz confiáveis. As seções a seguir orientam você na atualização dos certificados raiz confiáveis para aplicativos, que é um cenário comum para aplicativos que se conectam a uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Importante

A partir de 11 de novembro de 2025, as regiões do Azure na lista a seguir estão planejadas para uma rotação de certificados TLS/SSL que usa novos certificados de CA intermediários.

• E.U.A. Centro-Oeste
• Ásia Leste
• Sul do Reino Unido

A partir de 19 de janeiro de 2026, essa rotação está planejada para se estender a todas as regiões restantes do Azure, incluindo o Azure Government e todas as outras regiões.

Para obter informações sobre solução de problemas, consulte Problemas de fixação de certificados.

Importar certificados de CA raiz no Java Key Store no cliente, para cenários de fixação de certificados

Aplicativos Java personalizados usam um keystore padrão, chamado cacerts, que contém certificados de autoridade de certificação (CA) confiáveis. Também é frequentemente conhecido como armazenamento confiável Java. Um arquivo de certificados chamado cacerts reside no diretório de propriedades de segurança, java.home\lib\security, onde java.home é o diretório do ambiente de tempo de execução (o jre diretório no SDK ou o diretório de nível superior do Java™ 2 Runtime Environment). Você pode usar as seguintes instruções para atualizar certificados de CA raiz do cliente para cenários de fixação de certificados de cliente com o PostgreSQL:

1. Verifique cacerts o keystore java para ver se ele já contém os certificados necessários. Você pode listar certificados no keystore Java usando o seguinte comando:

     keytool -list -v -keystore ..\lib\security\cacerts > outputfile.txt
   

   Se os certificados necessários não estiverem presentes no armazenamento de chaves java no cliente, como pode ser verificado na saída, você deve prosseguir com as seguintes instruções:

2. Faça uma cópia de backup do seu keystore personalizado.

3. Transfira certificados e guarde-os localmente onde pode consultá-los.

4. Gere um armazenamento de certificados de CA combinado com todos os certificados de CA raiz necessários incluídos. O exemplo abaixo mostra o uso de DefaultJavaSSLFactory para usuários JDBC PostgreSQL.

       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootG2.crt.pem   -keystore truststore -storepass password -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert2  -file "D:\ Microsoft ECC Root Certificate Authority 2017.crt.pem" -keystore truststore -storepass password  -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootCA.crt.pem   -keystore truststore -storepass password -noprompt
   

5. Substitua o arquivo keystore original pelo novo arquivo gerado:

   System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
   System.setProperty("javax.net.ssl.trustStorePassword","password");
   

6. Substitua o arquivo pem da autoridade de certificação raiz original pelo arquivo de autoridade de certificação raiz combinada e reinicie o aplicativo/cliente.

   Para obter mais informações sobre como configurar certificados de cliente com o driver JDBC PostgreSQL, consulte esta documentação.

   Observação

   Para importar certificados para repositórios de certificados de cliente, talvez seja necessário converter arquivos .crt de certificado para o formato .pem. Você pode usar o utilitário OpenSSL para fazer essas conversões de arquivo.

Obtenha uma lista de certificados confiáveis no Java Key Store programaticamente

Por padrão, o Java armazena os certificados confiáveis em um arquivo especial chamado cacerts que está localizado dentro da pasta de instalação Java no cliente. O exemplo abaixo primeiro lê cacerts e carrega no objeto KeyStore :

private KeyStore loadKeyStore() {
    String relativeCacertsPath = "/lib/security/cacerts".replace("/", File.separator);
    String filename = System.getProperty("java.home") + relativeCacertsPath;
    FileInputStream is = new FileInputStream(filename);
    KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
    String password = "changeit";
    keystore.load(is, password.toCharArray());

    return keystore;
}

A senha padrão para cacerts é changeit , mas deve ser diferente no cliente real, pois os administradores recomendam alterar a senha imediatamente após a instalação do Java. Depois de carregarmos o objeto KeyStore , podemos usar a classe PKIXParameters para ler os certificados presentes.

public void whenLoadingCacertsKeyStore_thenCertificatesArePresent() {
    KeyStore keyStore = loadKeyStore();
    PKIXParameters params = new PKIXParameters(keyStore);
    Set<TrustAnchor> trustAnchors = params.getTrustAnchors();
    List<Certificate> certificates = trustAnchors.stream()
      .map(TrustAnchor::getTrustedCert)
      .collect(Collectors.toList());

    assertFalse(certificates.isEmpty());
}

Atualizar certificados de CA raiz ao usar clientes nos Serviços de Aplicativo do Azure, para cenários de fixação de certificados

Para os serviços de Aplicativo do Azure, conectando-se a uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL, podemos ter dois cenários possíveis na atualização de certificados de cliente e isso depende de como você está usando SSL com seu aplicativo implantado nos Serviços de Aplicativo do Azure.

• Novos certificados são adicionados ao Serviço de Aplicativo no nível da plataforma antes que ocorram alterações em sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL. Se você estiver usando os certificados SSL incluídos na plataforma do Serviço de Aplicativo em seu aplicativo, nenhuma ação será necessária. Para obter mais informações, consulte Adicionar e gerenciar certificados TLS/SSL no Serviço de Aplicativo do Azure, na documentação do Serviço de Aplicativo do Azure.
• Se você estiver incluindo explicitamente o caminho para o arquivo de certificado SSL em seu código, será necessário baixar o novo certificado e atualizar o código para usá-lo. Um bom exemplo desse cenário é quando você usa contêineres personalizados no Serviço de Aplicativo conforme descrito no Tutorial: Configurar um contêiner de sidecar para contêiner personalizado no Serviço de Aplicativo do Azure, na documentação do Serviço de Aplicativo do Azure.

Atualizar certificados de CA raiz ao usar clientes no Serviço Kubernetes do Azure (AKS), para cenários de fixação de certificados

Se você estiver tentando se conectar ao Banco de Dados do Azure para PostgreSQL usando aplicativos hospedados nos Serviços Kubernetes do Azure (AKS) e fixar certificados, é semelhante ao acesso do ambiente de host de um cliente dedicado. Consulte as etapas aqui.

Atualizar certificados de CA raiz para usuários .NET (Npgsql) no Windows, para cenários de fixação de certificados

Para utilizadores de .NET (Npgsql) no Windows que se conectam ao Banco de Dados Azure para instâncias de servidor flexíveis do PostgreSQL, assegure-se de que todas as três autoridades de certificação raiz existam no Armazém de Certificados do Windows, Autoridades de Certificação Raiz Confiáveis: Microsoft RSA Root Certificate Authority 2017, DigiCert Global Root G2 e Digicert Global Root CA. Se não existirem certificados, importe o certificado em falta.

Atualizar certificados de CA raiz para outros clientes, para cenários de fixação de certificados

Para outros usuários do cliente PostgreSQL, você pode mesclar dois arquivos de certificado de CA usando o seguinte formato:

-----BEGIN CERTIFICATE-----
(Root CA1: DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: Microsoft ECC Root Certificate Authority 2017.crt.pem)
-----END CERTIFICATE-----

Conteúdo relacionado

• Segurança no Banco de Dados do Azure para PostgreSQL