Resolução de falhas de ligação TLS

Importante

A Microsoft iniciou uma rotação de certificados TLS para o Azure Database for PostgreSQL , para atualizar os certificados intermédios da CA e a cadeia de certificados resultante. Os CAs de raiz mantêm-se os mesmos.

Se a configuração do teu cliente usar as configurações Recomendadas para TLS, não precisas de tomar qualquer ação.

Calendário de rotação de certificados

• As regiões Azure Oeste Central dos EUA, Este Asiático e Reino Unido Sul iniciaram a rotação de certificados TLS a 11 de novembro de 2025.
• A partir de 19 de janeiro de 2026, esta rotação de certificados está planeada para se estender às restantes regiões (exceto China), incluindo o Azure Government.
• Após o Festival da Primavera (Ano Novo Chinês) de 2026, as regiões da China também passarão por uma rotação de certificados que inclui a alteração de uma das CAs raízes.

Validar a configuração do cliente

Para validar a configuração do cliente antes de qualquer rotação planeada, certifique-se de implementar as configurações Recomendadas para TLS.

Verifique o seu repositório de certificados raiz

Certifique-se de que o armazenamento de certificados raiz do seu cliente contém ou os certificados raiz mínimos exigidos ou o conjunto completo de certificados raiz.

Atenção

Confie apenas nos certificados de CA raiz do Azure na loja de certificados raiz dos seus clientes. Não confies em CAs intermédias ou certificados individuais de servidor. Se confiar nestes certificados, poderá encontrar problemas inesperados de ligação quando a Microsoft atualiza a cadeia de certificados ou gira os certificados individuais do servidor.

Determinar o estado da ligação TLS

Para determinar o estado atual da tua ligação TLS, carrega a extensão sslinfo e depois chama a ssl_is_used() função para saber se o TLS está a ser usado. A função retorna t se a ligação usar TLS. Caso contrário, ele retornará f. Também pode recolher toda a informação sobre a utilização de TLS da sua Base de Dados Azure para a instância de servidor flexível PostgreSQL por processo, cliente e aplicação, utilizando a seguinte consulta:

SELECT datname as "Database name", usename as "User name", ssl, client_addr, application_name, backend_type
   FROM pg_stat_ssl
   JOIN pg_stat_activity
   ON pg_stat_ssl.pid = pg_stat_activity.pid
   ORDER BY ssl;

Teste a ligação TLS usando OpenSSL

Para testar, use o openssl comando para se ligar à sua base de dados Azure para o PostgreSQL e mostrar os certificados TLS.

openssl s_client -starttls postgres -showcerts -connect <your-postgresql-server-name>:5432

Este comando imprime informações de protocolo de baixo nível, como a versão TLS e a cifra. Você deve usar a opção -starttls postgres. Caso contrário, este comando indica que não está a ser utilizado nenhum TLS. Usar este comando requer pelo menos OpenSSL 1.1.1.

Réplicas de leitura

Quando ocorre a migração da CA raiz para o Microsoft RSA Root CA 2017, as réplicas recém-criadas podem usar um certificado de CA raiz mais recente do que o servidor primário, caso o servidor principal tenha sido criado anteriormente. Para clientes que utilizam as definições de configuração sslmode=verify-ca e sslmode=verify-full, é necessário aceitar os novos e anteriores certificados de CA raiz até que a rotação seja concluída em servidores existentes e novos.

Troubleshoot

1. Reproduza o problema.
2. Recolha dados de diagnóstico, como mensagens de erro do lado do cliente, saída psql, saída de s_client OpenSSL e registos do servidor.
3. Verifique parâmetros do servidor, incluindo require_secure_transport, ssl_min_protocol_version, e ssl_max_protocol_version.
4. Verifique a cadeia de certificados e as definições do cliente sslmode e sslrootcert para identificar incompatibilidades nas versões dos protocolos, conjuntos de cifras ou certificados em falta ou substituídos.

Erros de conectividade TLS

1. Identifique as mensagens de erro que você ou os seus utilizadores veem quando tentam aceder à sua instância de servidor flexível Azure Database for PostgreSQL sob encriptação TLS do cliente. Dependendo do aplicativo e da plataforma, as mensagens de erro podem ser diferentes. Em muitos casos, apontam para a questão subjacente.
2. Verifique a configuração TLS do servidor de base de dados e do cliente da aplicação para garantir que suportam versões compatíveis e suites de cifras.
3. Analise quaisquer discrepâncias ou lacunas entre o servidor de base de dados e as versões TLS e suites de cifras do cliente. Tente resolvê-los ativando ou desativando determinadas opções, atualizando ou fazendo downgrade de software ou alterando certificados ou chaves. Por exemplo, pode ser necessário ativar ou desativar versões específicas do TLS no servidor ou no cliente, dependendo dos requisitos de segurança e compatibilidade. Pode ser necessário desativar o TLS 1.0 e o TLS 1.1, que são considerados não seguros e obsoletos, e ativar o TLS 1.2 e o TLS 1.3, que são mais seguros e modernos.
4. O certificado mais recente emitido pelo Microsoft RSA Root CA 2017 tem um intermédio na cadeia assinado cruzadamente pela Digicert Global Root G2 CA. Algumas das bibliotecas de cliente Postgres, ao usar sslmode=verify-full ou sslmode=verify-ca configurações, podem enfrentar falhas de conexão com certificados de CA raiz que são assinados cruzados com certificados intermediários. O resultado são caminhos de confiança alternativos.

Para contornar estes problemas, adicione todos os certificados necessários ao armazenamento de certificados do cliente ou especifique explicitamente o sslrootcert parâmetro. Ou, defina a PGSSLROOTCERT variável de ambiente para o caminho local onde o certificado de autoridade de certificação raiz Microsoft RSA 2017 é colocado, a partir do valor padrão de %APPDATA%\postgresql\root.crt.

Questões das autoridades certificadoras

Observação

Se não usar as definições sslmode=verify-full ou sslmode=verify-ca na cadeia de ligação da sua aplicação cliente, as rotações de certificados não o afetam. Portanto, você não precisa seguir as etapas nesta seção.

1. Crie uma lista de certificados na sua loja raiz de confiança.
   • Por exemplo, você pode obter uma lista de certificados confiáveis no Java Key Store programaticamente.
   • Por exemplo, você pode verificar cacerts java keystore para ver se ele já contém certificados necessários.
2. Estás a usar fixação de certificados se tiveres certificados intermédios individuais ou certificados individuais de servidor PostgreSQL. Esta configuração não é suportada.
3. Para remover a pinagem de certificados, remova todos os certificados do seu repositório raiz confiável e adicione apenas os certificados de CA raiz.

Se tiver problemas mesmo depois de seguir estes passos, contacte o suporte da Microsoft. Inclua ICA Rotation 2026 no título.

Problemas de fixação de certificados

Se não utilizar as definições de sslmode=verify-full ou sslmode=verify-ca na cadeia de ligação da sua aplicação cliente, as rotações de certificados não o/a afetam. Portanto, você não precisa seguir as etapas nesta seção.

1. Verifica se estás a usar pinagem de certificados na tua aplicação.
2. Crie uma lista de certificados na sua loja raiz de confiança. Por exemplo:
   • Obtenha uma lista de certificados de confiança na Java Key Store de forma programática.
   • Verifica a loja de chaves Java do Cacerts para ver se já contém os certificados necessários.
3. Estás a usar fixação de certificados se tiveres certificados intermédios individuais ou certificados individuais de servidor PostgreSQL.
4. Para remover a pinagem de certificados, remova todos os certificados do seu armazenamento raiz confiável e adicione os novos certificados.
5. Pode descarregar os certificados atualizados do repositório oficial da Microsoft: detalhes da Azure Certificate Authority.

Se tiver problemas mesmo depois de seguir estes passos, contacte o suporte da Microsoft. Inclua ICA Rotation 2026 no título.

Verificar cadeia de certificados

Corrente antiga

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Emissão CA 03 / 04 / 07 / 08
  • Certificado do servidor

Nova cadeia de blocos

• DigiCert Global Root G2
  • Microsoft TLS RSA Raiz G2
  • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
  • Certificado do servidor

Conteúdo relacionado

• TLS in Azure Database for PostgreSQL
• Como ligar-se à Azure Database para PostgreSQL usando TLS