Krypterad anslutning med Transport Layer Security i Azure Database for PostgreSQL – flexibel server
GÄLLER FÖR:
Azure Database for PostgreSQL – flexibel server
Azure Database for PostgreSQL – flexibel server stöder anslutning av dina klientprogram till en flexibel Azure Database for PostgreSQL-server med hjälp av TLS (Transport Layer Security), som tidigare kallades Secure Sockets Layer (SSL). TLS är ett branschstandardprotokoll som säkerställer krypterade nätverksanslutningar mellan databasservern och klientprogram, så att du kan följa efterlevnadskrav.
Azure Database for PostgreSQL – flexibel server stöder krypterade anslutningar med transportnivåsäkerhet (TLS 1.2+) och alla inkommande anslutningar med TLS 1.0 och TLS 1.1 nekas. För alla flexibla Azure Database for PostgreSQL-serverinstanser är tillämpningen av TLS-anslutningar aktiverad.
Kommentar
Som standard tillämpas säkra anslutningar mellan klienten och servern. Om du vill inaktivera TLS/SSL för anslutning till en flexibel Azure Database for PostgreSQL-server kan du ändra serverparametern require_secure_transport till OFF. Du kan också ange TLS-version genom att ange ssl_max_protocol_version serverparametrar.
Program som kräver certifikatverifiering för TLS/SSL-anslutning
I vissa fall kräver program att en lokal certifikatfil som genereras från en certifikatfil för betrodd certifikatutfärdare (CA) ansluter på ett säkert sätt. Azure Database for PostgreSQL – flexibel server använder DigiCert Global Root CA. Ladda ned det här certifikatet som behövs för att kommunicera via SSL från DigiCert Global Root CA och spara certifikatfilen på önskad plats. I den här självstudien används c:\ssltill exempel .
Anslut med psql
Om du har skapat en flexibel Azure Database for PostgreSQL-serverinstans med privat åtkomst (VNet-integrering) måste du ansluta till servern från en resurs inom samma virtuella nätverk som servern. Du kan skapa en virtuell dator och lägga till den i det virtuella nätverk som skapats med din flexibla Azure Database for PostgreSQL-serverinstans.
Om du har skapat din flexibla Azure Database for PostgreSQL-serverinstans med offentlig åtkomst (tillåtna IP-adresser) kan du lägga till din lokala IP-adress i listan över brandväggsregler på servern.
I följande exempel visas hur du ansluter till servern med hjälp av psql-kommandoradsgränssnittet. Använd inställningen sslmode=verify-full anslutningssträng för att framtvinga TLS/SSL-certifikatverifiering. Skicka sökvägen till den lokala certifikatfilen till parametern sslrootcert .
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Kommentar
Bekräfta att värdet som skickas till sslrootcert matchar filsökvägen för det certifikat som du sparade.
Se till att ditt program eller ramverk stöder TLS-anslutningar
Vissa programramverk som använder PostgreSQL för sina databastjänster aktiverar inte TLS som standard under installationen. Din flexibla Azure Database for PostgreSQL-serverinstans tillämpar TLS-anslutningar, men om programmet inte har konfigurerats för TLS kan programmet misslyckas med att ansluta till databasservern. Läs dokumentationen för ditt program för att lära dig hur du aktiverar TLS-anslutningar.