Connectivité chiffrée à l’aide du protocole TLS dans Azure Database pour PostgreSQL - Serveur flexible
S’APPLIQUE À : Azure Database pour PostgreSQL : serveur flexible
Le serveur flexible Azure Database pour PostgreSQL prend en charge la connexion de vos applications clientes au serveur flexible Azure Database pour PostgreSQL à l’aide du protocole TLS (Transport Layer Security), précédemment appelé SSL (Secure Sockets Layer). TLS est un protocole standard qui garantit la sécurité des connexions réseau entre votre serveur de base de données et vos applications clientes, ce qui vous permet de respecter les exigences de conformité.
Le serveur flexible Azure Database pour PostgreSQL prend uniquement en charge les connexions chiffrées à l’aide du protocole TLS 1.2+ et toutes les connexions entrantes qui utilisent les protocoles TLS 1.0 et TLS 1.1 sont refusées. Pour toutes les instances de serveur flexible Azure Database pour PostgreSQL, la mise en œuvre des principes de protection des informations personnelles des connexions TLS est activée.
Remarque
Par défaut, la connectivité sécurisée entre le client et le serveur est appliquée. Si vous souhaitez désactiver l’application de TLS/SSL, en autorisant les communications clientes chiffrées et non chiffrées, vous pouvez modifier le paramètre de serveur require_secure_transport en OFF. Vous pouvez également définir la version TLS en configurant les paramètres de serveur ssl_max_protocol_version.
Applications nécessitant la vérification du certificat pour la connectivité TSL/SSL
Dans certains cas, les applications nécessitent un fichier de certificat local généré à partir du fichier de certificat d’une autorité de certification (AC) approuvée pour se connecter en toute sécurité. Si vous souhaitez en savoir plus sur le téléchargement de certificats d’autorité de certification racine, vous pouvez consulter ce document. Vous trouverez des informations détaillées sur la mise à jour des magasins de certificats d’applications clientes avec de nouveaux certificats d’autorité de certification racine dans ce document de procédure.
Remarque
Le serveur flexible Azure Database pour PostgreSQL ne prend pas en charge les certificats personnalisés SSL/TLS pour l’instant.
Connexion via psql
Si vous avez créé votre instance de serveur flexible Azure Database pour PostgreSQL avec l’option Accès privé (intégration au réseau virtuel), vous devez vous connecter à votre serveur depuis une ressource qui se trouve au sein du même réseau virtuel que votre serveur. Vous pouvez créer une machine virtuelle, puis l’ajouter au réseau virtuel créé avec votre instance de serveur flexible Azure Database pour PostgreSQL.
Si vous avez créé votre instance de serveur flexible Azure Database pour PostgreSQL avec l’option Accès public (adresses IP autorisées), vous pouvez ajouter votre adresse IP locale à la liste des règles de pare-feu sur votre serveur.
L’exemple suivant montre comment vous connecter à votre serveur à l’aide de l’interface de ligne de commande psql. Utilisez le paramètre de chaîne de connexion sslmode=verify-full
pour appliquer la vérification du certificat TLS/SSL. Passez le chemin d’accès du fichier de certificat local au paramètre sslrootcert
.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Notes
Vérifiez que la valeur transmise à sslrootcert correspond au chemin d'accès du certificat que vous avez enregistré.
Vérification que votre application ou votre infrastructure prend en charge les connexions TLS
Certaines infrastructures d’applications courantes qui utilisent PostgreSQL pour leurs services de base de données n’activent pas le protocole TLS par défaut lors de l’installation. Votre instance de serveur flexible Azure Database pour PostgreSQL applique des connexions TLS, mais si l’application n’est pas configurée pour cela, cette dernière risque de ne pas pouvoir se connecter à votre serveur de base de données. Consultez la documentation de votre application pour savoir comment activer les connexions TLS.