Connectivité chiffrée à l’aide du protocole TLS dans Azure Database pour PostgreSQL - Serveur flexible
S’APPLIQUE À :
Azure Database pour PostgreSQL – Serveur flexible
Azure Database pour PostgreSQL serveur flexible prend en charge la connexion de vos applications clientes à Azure Database pour PostgreSQL serveur flexible à l’aide du protocole TLS (Transport Layer Security), précédemment appelé SSL (Secure Sockets Layer). TLS est un protocole standard qui garantit la sécurité des connexions réseau entre votre serveur de base de données et vos applications clientes, ce qui vous permet de respecter les exigences de conformité.
Azure Database pour PostgreSQL serveur flexible prend en charge les connexions chiffrées à l’aide de TRANSPORT Layer Security (TLS 1.2+) et toutes les connexions entrantes avec TLS 1.0 et TLS 1.1 seront refusées. Pour toutes les Azure Database pour PostgreSQL l’application des instances de serveur flexibles des connexions TLS est activée.
Remarque
Par défaut, la connectivité sécurisée entre le client et le serveur est appliquée. Si vous souhaitez désactiver TLS/SSL pour la connexion à Azure Database pour PostgreSQL serveur flexible, vous pouvez modifier le paramètre de serveur require_secure_transport sur OFF. Vous pouvez également définir la version TLS en configurant les paramètres de serveur ssl_max_protocol_version.
Applications nécessitant la vérification du certificat pour la connectivité TSL/SSL
Dans certains cas, les applications nécessitent un fichier de certificat local généré à partir du fichier de certificat d’une autorité de certification (AC) approuvée pour se connecter en toute sécurité. Azure Database pour PostgreSQL serveur flexible utilise Autorité de certification racine globale DigiCert. Téléchargez ce certificat nécessaire pour communiquer par le biais du protocole SSL auprès de l’autorité de certification racine globale DigiCert et enregistrez le fichier du certificat à l’emplacement qui vous convient. Par exemple, ce tutoriel utilise c:\ssl.
Connexion via psql
Si vous avez créé votre instance de serveur flexible Azure Database pour PostgreSQL avec un accès privé (intégration au réseau virtuel), vous devez vous connecter à votre serveur à partir d’une ressource au sein du même réseau virtuel que votre serveur. Vous pouvez créer une machine virtuelle et l’ajouter au réseau virtuel créé avec votre instance de serveur flexible Azure Database pour PostgreSQL.
Si vous avez créé votre instance de serveur flexible Azure Database pour PostgreSQL avec accès public (adresses IP autorisées), vous pouvez ajouter votre adresse IP locale à la liste des règles de pare-feu sur votre serveur.
L’exemple suivant montre comment vous connecter à votre serveur à l’aide de l’interface de ligne de commande psql. Utilisez le paramètre de chaîne de connexion sslmode=verify-full pour appliquer la vérification du certificat TLS/SSL. Passez le chemin d’accès du fichier de certificat local au paramètre sslrootcert.
psql "sslmode=verify-full sslrootcert=c:\\ssl\DigiCertGlobalRootCA.crt.pem host=mydemoserver.postgres.database.azure.com dbname=postgres user=myadmin"
Notes
Vérifiez que la valeur transmise à sslrootcert correspond au chemin d'accès du certificat que vous avez enregistré.
Vérification que votre application ou votre infrastructure prend en charge les connexions TLS
Certaines infrastructures d’applications courantes qui utilisent PostgreSQL pour leurs services de base de données n’activent pas le protocole TLS par défaut lors de l’installation. Votre instance de serveur flexible Azure Database pour PostgreSQL applique des connexions TLS, mais si l’application n’est pas configurée pour TLS, l’application peut ne pas se connecter à votre serveur de base de données. Consultez la documentation de votre application pour savoir comment activer les connexions TLS.