TLS bağlantı hatalarını giderme

Önemli

Yeni ara CA sertifikalarını ve bunun sonucunda oluşan sertifika zincirini güncellemek için Azure Veritabanı for PostgreSQL üzerinde TLS sertifika yenileme sürecini başlattık. Kök CA'lar aynı kalır.

İstemci yapılandırmanız TLS için Önerilen yapılandırmaları uygularsa herhangi bir eylem gerekmez.

Sertifika döndürme zamanlaması

• Orta Batı ABD, Doğu Asya ve Güney Birleşik Krallık Azure bölgeleri TLS sertifika rotasyonuna 11 Kasım 2025'te başladı.
• 19 Ocak 2026'da bu sertifika rotasyonunun Azure Kamu dahil olmak üzere kalan (Çin hariç) bölgelere kadar uzatılması planlanmaktadır.
• Bahar Festivali (Çin Yeni Yılı) 2026'nın ardından, Çin bölgeleri kök CA'lardan birinde değişiklik içeren bir sertifika rotasyonundan da geçecek.

İstemci yapılandırmasını doğrulama

İstemci yapılandırmanızı planlı döndürme öncesinde doğrulamak için TLS için Önerilen yapılandırmalar uyguladığınızdan emin olun.

Kök sertifika deponuzu denetleme

İstemcinizin kök sertifika deposunda gerekli en düşük kök sertifikalara veya tam kök sertifika kümesine sahip olmanız gerekir.

Dikkat

İstemcilerinizin kök sertifika deposunda yalnızca Azure kök CA sertifikalarına güvenin. Microsoft sertifika zincirini güncelleştirdiğinde veya tek tek sunucu sertifikalarını döndürdiğinde bu uygulamalar beklenmeyen bağlantı sorunlarına neden olabileceğinden ara CA'lara veya tek tek sunucu sertifikalarına güvenmekten kaçının.

TLS bağlantı durumunu belirleme

Geçerli TLS bağlantı durumunuzu belirlemek için sslinfo uzantısını yükleyebilir ve ardından TLS'nin kullanılıp kullanılmadığını belirlemek için işlevini çağırabilirsiniz ssl_is_used() . Bağlantı TLS kullanıyorsa işlevi döndürür t . Aksi takdirde, o f'ı döndürür. Aşağıdaki sorguyu kullanarak PostgreSQL için Azure Veritabanı esnek sunucu örneğinizin TLS kullanımıyla ilgili tüm bilgileri işleme, istemciye ve uygulamaya göre de toplayabilirsiniz:

SELECT datname as "Database name", usename as "User name", ssl, client_addr, application_name, backend_type
   FROM pg_stat_ssl
   JOIN pg_stat_activity
   ON pg_stat_ssl.pid = pg_stat_activity.pid
   ORDER BY ssl;

OpenSSL ile TLS bağlantısını test edin

Test etmek için komutunu kullanarak openssl PostgreSQL için Azure Veritabanınıza bağlanabilir ve TLS sertifikalarını görüntüleyebilirsiniz.

openssl s_client -starttls postgres -showcerts -connect <your-postgresql-server-name>:5432

Bu komut, TLS sürümü ve şifresi gibi alt düzey protokol bilgilerini yazdırır. seçeneğini -starttls postgreskullanmanız gerekir. Aksi takdirde, bu komut hiçbir TLS'nin kullanımda olmadığını bildirir. Bu komutu kullanmak için en az OpenSSL 1.1.1 gerekir.

Okuma amaçlı replikalar

Microsoft RSA Kök CA 2017'ye kök CA geçişiyle, yeni oluşturulan çoğaltmaların daha önce oluşturulan birincil sunucudan daha yeni bir kök CA sertifikasında olması mümkündür. sslmode=verify-ca ve sslmode=verify-full yapılandırma ayarlarını kullanan istemciler için, bu sunucularda döndürme tamamlanana kadar yeni ve önceki kök CA sertifikalarını kabul etmek gereklidir.

Troubleshoot

1. Sorunu yeniden üreterek başlayın
2. Tanılama verilerini toplama (istemci tarafı hata iletileri, psql çıkışı, OpenSSL s_client çıkışı ve sunucu günlükleri).
3. Sunucu parametrelerini doğrulama (require_secure_transport, ssl_min_protocol_version, ssl_max_protocol_version)
4. Protokol sürümlerinde, şifre paketlerinde veya eksik/döndürülmüş sertifikalarda uyuşmazlıkları belirlemek için sertifika zincirini ve istemci sslmode/sslrootcert ayarlarını doğrulayın.

TLS bağlantı hataları

1. TLS protokolü sürüm uyumluluğu sorunlarını gidermenin ilk adımı, istemciden TLS şifrelemesi altında PostgreSQL için Azure Veritabanı esnek sunucu örneğine erişmeye çalıştıklarında sizin veya kullanıcılarınızın gördüğü hata iletilerini belirlemektir. Uygulamaya ve platforma bağlı olarak hata iletileri farklı olabilir. Çoğu durumda, temel alınan soruna işaret ederler.
2. TLS protokolü sürüm uyumluluğundan emin olmak için, uyumlu sürümleri ve şifreleme paketlerini desteklediğinden emin olmak için veritabanı sunucusunun ve uygulama istemcisinin TLS yapılandırmasını denetleyin.
3. Veritabanı sunucusu ile istemcinin TLS sürümleri ve şifre paketleri arasındaki tutarsızlıkları veya boşlukları analiz edin. Belirli seçenekleri etkinleştirerek veya devre dışı bırakarak, yazılımı yükselterek veya düşürerek ya da sertifikaları ya da anahtarları değiştirerek bunları çözmeyi deneyin. Örneğin, güvenlik ve uyumluluk gereksinimlerine bağlı olarak sunucuda veya istemcide belirli TLS sürümlerini etkinleştirmeniz veya devre dışı bırakmanız gerekebilir. Örneğin, güvenli olmayan ve kullanım dışı olarak kabul edilen TLS 1.0 ve TLS 1.1'i devre dışı bırakmanız ve daha güvenli ve modern tls 1.2 ve TLS 1.3'i etkinleştirmeniz gerekebilir.
4. Microsoft RSA Kök CA 2017 ile verilen en yeni sertifika, Digicert Global Root G2 CA tarafından çapraz imzalanan zincirde ara var. Veya ayarlarını kullanırken sslmode=verify-fullsslmode=verify-ca Postgres istemci kitaplıklarından bazıları, ara sertifikalarla çapraz imzalı kök CA sertifikalarıyla bağlantı hataları yaşayabilir. Sonuç, alternatif güven yollarıdır.

Bu sorunları geçici olarak çözmek için, gerekli tüm sertifikaları istemci sertifika deposuna ekleyin veya parametresini sslrootcert açıkça belirtin. Alternatif olarak, ortam değişkenini PGSSLROOTCERT varsayılan değerinden %APPDATA%\postgresql\root.crtMicrosoft RSA Kök CA 2017 kök CA sertifikasının yerleştirildiği yerel yola ayarlayın.

Sertifika Yetkilisi sorunları

Uyarı

İstemci uygulama bağlantı dizenizde veya ayarlarını sslmode=verify-fullsslmode=verify-ca, sertifika döndürmeleri sizi etkilemez. Bu nedenle, bu bölümdeki adımları izlemeniz gerekmez.

1. Güvenilen kök deponuzdaki sertifikaların listesini oluşturma
   1. Örneğin, program aracılığıyla Java Key Store'da güvenilen sertifikaların listesini alabilirsiniz.
   2. Örneğin, cacerts java keystore'u denetledikten sonra gerekli sertifikaları içerip içermediğini görebilirsiniz.
2. Tek tek ara sertifikalarınız veya tek tek PostgreSQL sunucu sertifikalarınız varsa sertifika sabitlemeyi kullanıyorsunuz. Bu desteklenmeyen bir yapılandırmadır.
3. Sertifika sabitlemeyi kaldırmak için, güvenilen kök deponuzdan tüm sertifikaları kaldırın ve yalnızca kök CA sertifikaları ekleyin.

Bu adımları takip ettikten sonra bile sorun yaşıyorsanız Microsoft desteğine başvurun. Başlığa ICA Rotasyon 2026 ekleyin.

Sertifika sabitleme sorunları

İstemci uygulama bağlantı dizenizde sslmode=verify-full veya sslmode=verify-ca ayarlarını kullanmıyorsanız, sertifika yenilemeleri sizi etkilemez. Bu nedenle, bu bölümdeki adımları izlemeniz gerekmez.

1. Uygulamanızda sertifika sabitleme kullanıp kullanmadığınızı doğrulayın.
2. Güvenilir kök deponuzdaki sertifika listenizi oluşturun. Örneğin:
   1. Program aracılığıyla Java Anahtar Deposu'nda güvenilen sertifikaların listesini alın.
   2. Cacerts java keystore'u denetleerek gerekli sertifikaları içerip içermediğini denetleyin.
3. Tek tek ara sertifikalarınız veya tek tek PostgreSQL sunucu sertifikalarınız varsa sertifika sabitlemeyi kullanıyorsunuz.
4. Sertifika sabitlemeyi kaldırmak için, güvenilen kök deponuzdan tüm sertifikaları kaldırın ve yeni sertifikaları ekleyin.
5. Güncelleştirilmiş sertifikaları Microsoft'un resmi deposundan indirebilirsiniz: Azure Sertifika Yetkilisi ayrıntıları.

Bu adımları takip ettikten sonra bile sorun yaşıyorsanız Microsoft desteğine başvurun. ICA Döndürme 2026'yı başlığa dahil edin.

Sertifika zincirini doğrulama

Eski zincir

• DigiCert Genel Kök G2
  • Microsoft Azure RSA TLS Yayımlayan CA 03 / 04 / 07 / 08
  • Sunucu sertifikası

Yeni zincir

• DigiCert Genel Kök G2
  • Microsoft TLS RSA Kök G2
  • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
  • Sunucu sertifikası

İlgili içerik

• PostgreSQL için Azure Veritabanı'nda TLS
• PostgreSQLusing TLS için Azure Veritabanı'na bağlanma