Share via

Зашифрованное подключение с использованием протокола TLS к Базе данных Azure для PostgreSQL (гибкий сервер)

  • Статья

Область применения: гибкий сервер Базы данных Azure для PostgreSQL

База данных Azure для PostgreSQL гибкий сервер поддерживает подключение клиентских приложений к База данных Azure для PostgreSQL гибкому серверу с помощью протокола TLS, ранее известного как ПРОТОКОЛ SSL. TLS — это отраслевой стандарт протокола, обеспечивающего шифрование сетевых подключений между сервером базы данных и клиентскими приложениями, что позволяет соблюдать требования соответствия.

База данных Azure для PostgreSQL гибкий сервер поддерживает зашифрованные подключения с помощью tls 1.2+, а все входящие подключения с TLS 1.0 и TLS 1.1 будут отклонены. Для всех База данных Azure для PostgreSQL гибких экземпляров сервера включено применение подключений TLS.

Примечание.

По умолчанию применяется защищенное подключение между клиентом и сервером. Если вы хотите отключить TLS/SSL для подключения к гибкому серверу База данных Azure для PostgreSQL, можно изменить параметр сервера require_secure_transport на OFF. Кроме того, можно задать версию TLS, задав параметры сервера ssl_max_protocol_version .

Приложения, требующие проверки сертификата для TLS/SSL-соединений

В некоторых случаях для безопасного подключения приложениям требуется локальный файл сертификата, созданный из файла сертификата доверенного центра сертификации. База данных Azure для PostgreSQL гибкий сервер использует Глобальный корневой ЦС DigiCert. Скачайте этот сертификат для взаимодействия по протоколу SSL из глобального корневого центра сертификации DigiCert и сохраните его файл в удобном месте. Например, в этом учебнике используется c:\ssl.

Подключение с помощью psql

Если вы создали гибкий экземпляр сервера База данных Azure для PostgreSQL с частным доступом (интеграция с виртуальной сетью), необходимо подключиться к серверу из ресурса в той же виртуальной сети, что и сервер. Вы можете создать виртуальную машину и добавить ее в виртуальную сеть, созданную с помощью База данных Azure для PostgreSQL гибкого экземпляра сервера.

Если вы создали гибкий экземпляр сервера База данных Azure для PostgreSQL с общедоступным доступом (разрешенными IP-адресами), вы можете добавить локальный IP-адрес в список правил брандмауэра на сервере.

В следующем примере показано, как подключиться к гибкому серверу PostgreSQL с помощью служебной программы командной строки psql. Для принудительной проверки сертификата TLS/SSL используйте параметр sslmode=verify-full. Передайте путь к локальному файлу сертификата параметру sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Примечание.

Убедитесь, что значение, переданное в параметр sslrootcert, соответствует пути к сохраненному файлу сертификата.

Проверка поддержки TLS-подключений приложением или платформой

Некоторые платформы приложений, использующие PostgreSQL для служб базы данных, по умолчанию не включают TLS при установке. Ваш База данных Azure для PostgreSQL гибкий экземпляр сервера применяет подключения TLS, но если приложение не настроено для TLS, приложение может не подключиться к серверу базы данных. Сведения о включении TLS-подключений можно найти в документации приложения.

Следующие шаги