Compartilhar via

Conectividade criptografada usando o TLS (Transport Layer Security) no Banco de Dados do Azure para PostgreSQL – Servidor Flexível

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Flexível

O servidor flexível do Banco de Dados do Azure para PostgreSQL dá suporte à conexão dos aplicativos cliente com o serviço do servidor flexível do Banco de Dados do Azure para PostgreSQL usando o protocolo TLS, anteriormente conhecido como protocolo SSL. O TLS é um protocolo padrão do setor que garante conexões de rede criptografadas entre o servidor de banco de dados e os aplicativos cliente, permitindo que você atenda aos requisitos de conformidade.

O servidor flexível do Banco de Dados do Azure para PostgreSQL dá suporte a conexões criptografadas usando TLS 1.2 (protocolo TLS) e todas as conexões de entrada com TLS 1.0 e TLS 1.1 serão negadas. Para todas as instâncias de servidor flexível do Banco de Dados do Azure para PostgreSQL, a imposição de conexões TLS está habilitada.

Observação

Por padrão, a conectividade protegida entre o cliente e o servidor é imposta. Se desejar desabilitar o TLS/SSL para se conectar ao servidor flexível do Banco de Dados do Azure para PostgreSQL, altere o parâmetro do servidor require_secure_transport para OFF. Defina também a versão do TLS definindo ssl_max_protocol_version como parâmetros do servidor.

Aplicativos que exigem a verificação de certificado para conectividade TLS/SSL

Em alguns casos, os aplicativos exigem um arquivo de certificado local gerado de um arquivo de certificado de uma Autoridade de Certificação (CA) confiável para se conectar com segurança. Para obter mais informações sobre como baixar certificados de autoridade de certificação raiz, você pode acessar este documento. Informações detalhadas sobre a atualização dos repositórios de certificados dos aplicativos clientes com novos certificados de AC raiz foram documentadas neste documento da instruções.

Observação

O Banco de Dados do Azure para PostgreSQL – Servidor Flexível não dá suporte a certificados SSL\TLS personalizados no momento.

Conecte-se usando psql

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com Acesso privado (Integração da VNet), será necessário se conectar ao servidor a partir de um recurso dentro da mesma VNet que o seu servidor. Você pode criar uma máquina virtual e adicioná-la à VNet criada com sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com Acesso público (endereços IP permitidos), é possível adicionar o seu endereço IP local à lista de regras de firewall no seu servidor.

O exemplo a seguir mostra como se conectar ao servidor usando a interface de linha de comando do PSQL. Use a configuração de cadeia de conexão sslmode=verify-full para impor a verificação de certificado TLS/SSL. Passe o caminho do arquivo de certificado local para o parâmetro sslrootcert.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Observação

Confirme se o valor passado para sslrootcert corresponde ao caminho do arquivo para o certificado que você salvou.

Verificar se o seu aplicativo ou sua estrutura oferece suporte a conexões TLS

Algumas estruturas do aplicativos que usam o PostgreSQL para serviços de banco de dados não habilitam o protocolo TSL por padrão durante a instalação. O seu servidor flexível do Banco de Dados do Azure para PostgreSQL impõe conexões TLS, mas o aplicativo não está configurado para o TLS, o aplicativo pode falhar ao se conectar ao seu servidor de banco de dados. Confira a documentação de seu aplicativo para saber como habilitar conexões TLS.

Próximas etapas