您可以使用傳輸層安全性(TLS,前稱為安全通訊端層(SSL)),將您的用戶端應用程式連線到適用於 PostgreSQL 的 Azure 資料庫彈性伺服器執行個體。 TLS 是一種業界標準協定,可確保資料庫伺服器和用戶端應用程式之間的加密網路連接,使您能夠遵守合規性要求。
適用於 PostgreSQL 的 Azure 資料庫支援使用傳輸層安全性 (TLS 1.2+) 進行加密連線。 嘗試使用 TLS 1.0 和 TLS 1.1 加密流量的所有傳入連線都會被拒絕。
針對所有適用於 PostgreSQL 的 Azure 資料庫彈性伺服器執行個體,會啟用 TLS 連線的強制執行。
備註
依預設,會強制執行用戶端與伺服器之間的安全連線。 如果您想要停用 TLS/SSL 的強制執行,以容許加密及未加密的用戶端通訊,您可以將伺服器參數 require_secure_transport 變更為 OFF。 您也可以透過設定 ssl_max_protocol_version 伺服器參數來設定 TLS 版本。
這很重要
從 2025 年 11 月 11 日開始,下列清單中的 Azure 區域會規劃使用新的中繼 CA 憑證的 TLS/SSL 憑證輪替。
- 美國中西部
- 東亞
- 英國南部
從 2026 年 1 月 19 日開始,此輪替計劃擴展到所有剩餘的 Azure 區域,包括 Azure Government 和所有其他區域。
如需疑難排解的相關資訊,請參閱 憑證固定問題。
需要憑證驗證才能進行 TLS/SSL 連線的應用程式
在某些情況下,應用程式需要從受信任的憑證授權單位 (CA) 憑證檔案產生的本機憑證檔案,以便它們可以安全地連線。 如需下載根 CA 憑證的詳細資訊,請參閱 在用戶端上設定 SSL。
有關使用新的根 CA 憑證更新用戶端應用程式憑證存放區的詳細資訊已記錄在此操作說明文件中。
備註
適用於 PostgreSQL 的 Azure 資料庫不支援 自訂 SSL\TLS 憑證。
使用 psql 連線
如果您使用 私人存取(VNet 整合) 網路模式建立 Azure Database for PostgreSQL 彈性伺服器,您必須從與伺服器相同虛擬網路中的資源進行連線,或從可將流量路由至伺服器整合虛擬網路的資源進行連線。
如果您建立具有 公用存取權 (允許的 IP 位址) 的適用於 PostgreSQL 的 Azure 資料庫彈性伺服器執行個體,您可以使用公用 IP 位址新增防火牆規則,以便允許您連線到伺服器。 或者,您可以建立執行個體的私人端點,並透過該私人端點進行連線。
下列範例示範如何使用 psql 命令列介面連線至伺服器。 使用 sslmode=verify-full 連接字串設定來強制執行 TLS/SSL 憑證驗證。 將本機憑證檔案路徑傳遞至 sslrootcert 參數。
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
備註
確認傳遞給 sslrootcert 的值符合您儲存之憑證的檔案路徑。
確保您的應用程式或架構支援 TLS 連線
某些將 PostgreSQL 用於其資料庫服務的應用程式架構在安裝期間預設不會啟用 TLS。 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器執行個體會強制執行 TLS 連線,但如果應用程式未針對 TLS 進行設定,應用程式可能無法連線到您的資料庫伺服器。 請參閱應用程式的文件,以瞭解如何啟用 TLS 連線。