Condividi tramite

Connettività crittografata con Transport Layer Security nel server flessibile di Database di Azure per PostgreSQL

  • Articolo

SI APPLICA A: Database di Azure per PostgreSQL - Server flessibile

Database di Azure per PostgreSQL server flessibile supporta la connessione delle applicazioni client a Database di Azure per PostgreSQL server flessibile tramite Transport Layer Security (TLS), noto in precedenza come Secure Sockets Layer (SSL). TLS è un protocollo standard del settore che garantisce connessioni di rete crittografate tra il server di database e le applicazioni client, consentendo di rispettare i requisiti di conformità.

Database di Azure per PostgreSQL server flessibile supporta connessioni crittografate tramite Transport Layer Security (TLS 1.2+) e tutte le connessioni in ingresso con TLS 1.0 e TLS 1.1 verranno negate. Per tutte le istanze del server flessibili Database di Azure per PostgreSQL è abilitata l'imposizione delle connessioni TLS.

Nota

Per impostazione predefinita, viene applicata la connettività protetta tra il client e il server. Se si vuole disabilitare l'imposizione di TLS/SSL, consentendo comunicazioni client crittografate e non crittografate, è possibile modificare il parametro del server require_secure_transport su OFF. È anche possibile impostare la versione TLS impostando ssl_max_protocol_version parametri del server.

Applicazioni che richiedono la verifica del certificato per la connettività TLS/SSL

In alcuni casi, le applicazioni richiedono un file di certificato locale generato da un file di certificato dell'autorità di certificazione (CA) attendibile per connettersi in modo sicuro. Per altre informazioni sul download dei certificati CA radice, visitare questo documento. Le informazioni dettagliate sull'aggiornamento degli archivi dei certificati delle applicazioni client con i nuovi certificati CA radice sono riportate in questo documento sulla procedura.

Nota

Database di Azure per PostgreSQL - Server flessibile non supporta i certificati SSL\TLS personalizzati al momento.

Connettersi tramite psql

Se l'istanza del server flessibile di Database di Azure per PostgreSQL è stata creata con l'opzione per l'accesso privato (integrazione rete virtuale), sarà necessario connettersi al server da una risorsa all'interno della stessa rete virtuale usata dal server. È possibile creare una macchina virtuale e aggiungerla alla rete virtuale creata con l'istanza del server flessibile di Database di Azure per PostgreSQL.

Se l'istanza del server flessibile di Database di Azure per PostgreSQL è stata creata con l'opzione Accesso pubblico (indirizzi IP consentiti), è possibile aggiungere il proprio indirizzo IP locale all'elenco di regole del firewall nel server.

L'esempio seguente illustra come connettersi al server usando l'interfaccia della riga di comando psql. Per applicare la verifica del certificato TLS/SSL usare l'impostazione della stringa di connessione sslmode=verify-full. Passare il percorso del file del certificato locale al parametro sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Nota

Verificare che il valore passato a sslrootcert corrisponda al percorso del file per il certificato salvato.

Verificare che le connessioni TLS siano supportate dall'applicazione o dal framework

Alcuni framework applicazione che usano PostgreSQL per i servizi di database non abilitano TLS per impostazione predefinita durante l'installazione. L'istanza del server flessibile Database di Azure per PostgreSQL applica connessioni TLS, ma se l'applicazione non è configurata per TLS, l'applicazione potrebbe non riuscire a connettersi al server di database. Consultare la documentazione dell'applicazione per informazioni su come abilitare le connessioni TLS.

Contenuto correlato