Conectividade criptografada usando a Segurança da Camada de Transporte no Banco de Dados do Azure para PostgreSQL - Servidor Flexível

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Flexível

O servidor flexível do Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seus aplicativos cliente ao servidor flexível do Banco de Dados do Azure para PostgreSQL usando TLS (Transport Layer Security), anteriormente conhecido como SSL (Secure Sockets Layer). O TLS é um protocolo padrão da indústria que garante ligações de rede encriptadas entre o servidor de bases de dados e as aplicações cliente, o que lhe permite cumprir os requisitos de conformidade.

O servidor flexível do Banco de Dados do Azure para PostgreSQL dá suporte a conexões criptografadas usando o Transport Layer Security (TLS 1.2+) e todas as conexões de entrada com TLS 1.0 e TLS 1.1 serão negadas. Para todas as instâncias de servidor flexíveis do Banco de Dados do Azure para PostgreSQL, a imposição de conexões TLS está habilitada.

Nota

Por predefinição, é aplicada a conectividade segura entre o cliente e o servidor. Se quiser desabilitar o TLS/SSL para se conectar ao Banco de Dados do Azure para servidor flexível PostgreSQL, você pode alterar o parâmetro do servidor require_secure_transport para OFF. Você também pode definir a versão do TLS definindo ssl_max_protocol_version parâmetros do servidor.

Aplicativos que exigem verificação de certificado para conectividade TLS/SSL

Em alguns casos, os aplicativos exigem um arquivo de certificado local gerado a partir de um arquivo de certificado de Autoridade de Certificação (CA) confiável para se conectarem com segurança. Para obter mais informações sobre como baixar certificados de autoridade de certificação raiz, visite este documento. Informações detalhadas sobre como atualizar repositórios de certificados de aplicativos cliente com novos certificados de CA raiz foram documentadas neste documento de instruções.

Nota

Banco de Dados do Azure para PostgreSQL - O servidor flexível não oferece suporte a certificados SSL\TLS personalizados no momento.

Conecte-se usando psql

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com acesso privado (Integração VNet), precisará se conectar ao servidor a partir de um recurso dentro da mesma VNet do servidor. Você pode criar uma máquina virtual e adicioná-la à VNet criada com sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL.

Se você criou sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL com acesso público (endereços IP permitidos), poderá adicionar seu endereço IP local à lista de regras de firewall em seu servidor.

O exemplo a seguir mostra como se conectar ao seu servidor usando a interface de linha de comando psql. Use a configuração da cadeia de conexão para impor a sslmode=verify-full verificação do certificado TLS/SSL. Passe o caminho do arquivo de certificado local para o sslrootcert parâmetro.

 psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"

Nota

Confirme se o valor passado para sslrootcert corresponde ao caminho do arquivo para o certificado salvo.

Certifique-se de que seu aplicativo ou estrutura ofereça suporte a conexões TLS

Algumas estruturas de aplicativos que usam PostgreSQL para seus serviços de banco de dados não habilitam o TLS por padrão durante a instalação. Sua instância de servidor flexível do Banco de Dados do Azure para PostgreSQL impõe conexões TLS, mas se o aplicativo não estiver configurado para TLS, o aplicativo poderá falhar ao se conectar ao seu servidor de banco de dados. Consulte a documentação do seu aplicativo para saber como habilitar conexões TLS.

Próximos passos