PostgreSQL için Azure Veritabanı - Tek Sunucuda TLS bağlantısını yapılandırma
PostgreSQL için Azure Veritabanı, istemci uygulamalarınızı daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) kullanarak PostgreSQL hizmetine bağlamayı tercih eder. Veritabanı sunucunuzla istemci uygulamalarınız arasında TLS bağlantıları zorlayarak, sunucu ile uygulamanız arasındaki veri akışını şifrelerken "ortadaki adam" saldırılarına karşı koruma sağlar.
PostgreSQL veritabanı hizmeti varsayılan olarak TLS bağlantısı gerektirecek şekilde yapılandırılmıştır. İstemci uygulamanız TLS bağlantısını desteklemezse TLS gerektirmeyi devre dışı bırakmayı seçebilirsiniz.
Not
Müşterilerden gelen geri bildirimlere dayanarak, mevcut Baltimore Kök CA'mız için kök sertifika kullanımdan korumayı 15 Şubat 2021'e (02/15/2021) kadar genişlettik.
Önemli
SSL kök sertifikasının süresi 15 Şubat 2021 'den (15.02.2021) başlayarak sona erer. Lütfen yeni sertifikayı kullanmak için uygulamanızı güncelleştirin. Daha fazla bilgi edinmek için bkz. planlı sertifika güncelleştirmeleri
TLS bağlantılarını zorlama
PostgreSQL için Azure Veritabanı CLI Azure portal sağlanan tüm sunucularda TLS bağlantılarının zor sağlanması varsayılan olarak etkindir.
Benzer şekilde, Azure portal'de sunucunuz altındaki "Bağlantı Dizeleri" ayarlarında önceden tanımlanmış olan bağlantı dizeleri, veritabanı sunucunuza TLS kullanarak bağlanmak için ortak diller için gerekli parametreleri içerir. TLS parametresi bağlayıcıya göre değişir; örneğin, "ssl=true" veya "sslmode=require" veya "sslmode=required" ve diğer çeşitlemeler.
TLS Zorlamayı Yapılandırma
İsteğe bağlı olarak TLS bağlantısını zorunlu bırakmayı devre dışı olabilirsiniz. Microsoft Azure güvenlik için SSL bağlantısını zorla ayarını her zaman etkinleştirmeniz önerilir.
Azure portalını kullanma
Sunucu sunucunuza PostgreSQL için Azure Veritabanı ve Bağlantı güvenliği'ne tıklayın. SSL bağlantısını zorla ayarını etkinleştirmek veya devre dışı bırakmak için iki durumlu düğmeyi kullanın. Ardından Kaydet'e tıklayın.
SSL zorlama durum göstergesini görmek için Genel Bakış sayfasını görüntüerek ayarı onayleyebilirsiniz.
Azure CLI’yı kullanma
Azure CLI'de sırasıyla veya değerlerini kullanarak ssl-enforcement Enabled Disabled parametresini etkinleştirebilirsiniz veya devre dışı abilirsiniz.
az postgres server update --resource-group myresourcegroup --name mydemoserver --ssl-enforcement Enabled
Uygulama veya çerçevenizin TLS bağlantılarını desteklediğini emin olmak
Veritabanı hizmetleri için PostgreSQL kullanan bazı uygulama çerçeveleri yükleme sırasında varsayılan olarak TLS'yi etkinleştirmez. PostgreSQL sunucunuz TLS bağlantılarını zorlar ancak uygulama TLS için yapılandırılmamışsa, uygulama veritabanı sunucunuza bağlanamıyor olabilir. TLS bağlantılarını etkinleştirme hakkında bilgi edinmek için uygulamanın belgelerine başvurun.
TLS bağlantısı için sertifika doğrulaması gerektiren uygulamalar
Bazı durumlarda, uygulamalar güvenli bir şekilde bağlanmak için güvenilir bir Sertifika Yetkilisi (CA) sertifika dosyasından oluşturulan yerel bir sertifika dosyası gerektirir. Bir sunucuya bağlanmak için PostgreSQL için Azure Veritabanı sertifikası şu https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem konumdadır: . Sertifika dosyasını indirin ve tercih ettiğiniz konuma kaydedin.
Bağımsız bulutlarda sunucuların sertifikaları için aşağıdaki bağlantılara bakın: Azure Kamu, Azure Çinve Azure Almanya.
psql kullanarak bağlanma
Aşağıdaki örnekte psql komut satırı yardımcı programını kullanarak PostgreSQL sunucunuza nasıl bağlanabilirsiniz? sslmode=verify-fullTLS/SSL sertifika doğrulamasını zorlamak için bağlantı dizesi ayarını kullanın. Yerel sertifika dosya yolunu parametresine sslrootcert iletir.
Aşağıdaki komut psql bağlantı dizesinin bir örneğidir:
psql "sslmode=verify-full sslrootcert=BaltimoreCyberTrustRoot.crt host=mydemoserver.postgres.database.azure.com dbname=postgres user=myusern@mydemoserver"
İpucu
için geçirilen değerin, kaydedilen sslrootcert sertifikanın dosya yoluyla eşle eşle olduğunu onaylayın.
Tek sunucuda PostgreSQL için Azure Veritabanı TLS zorlaması
PostgreSQL için Azure Veritabanı - Tek sunucu, Aktarım Katmanı Güvenliği (TLS) kullanarak veritabanı sunucunuza bağlanan istemciler için şifrelemeyi destekler. TLS, veritabanı sunucunuz ve istemci uygulamalarınız arasında güvenli ağ bağlantıları sağlayarak uyumluluk gereksinimlerine uymanızı sağlayan endüstri standardı bir protokoldür.
TLS ayarları
PostgreSQL için Azure Veritabanı sunucu, istemci bağlantıları için TLS sürümünü zorlama olanağı sağlar. TLS sürümünü zorlamak için Minimum TLS sürüm seçeneği ayarını kullanın. Bu seçenek ayarı için aşağıdaki değerlere izin verilir:
| En düşük TLS ayarı | desteklenen istemci TLS sürümü |
|---|---|
| TLSEnforcementDisabled (varsayılan) | TLS gerekmez |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 ve daha yüksek |
| TLS1_1 | TLS 1.1, TLS 1.2 ve daha yüksek |
| TLS1_2 | TLS sürüm 1.2 ve üzerinde |
Örneğin, bu En Düşük TLS ayar sürümünü TLS 1.0 olarak ayarlarsanız, sunucunuz TLS 1.0, 1.1 ve 1.2+ kullanan istemcilerden gelen bağlantılara izin verir. Alternatif olarak, bunu 1.2 olarak ayarlayarak yalnızca TLS 1.2+ kullanan istemcilerden gelen bağlantılara izin ve TLS 1.0 ve TLS 1.1 ile tüm bağlantılar reddedilir.
Not
Varsayılan olarak, PostgreSQL için Azure Veritabanı TLS sürümünü (ayar) TLSEnforcementDisabled zorlamaz.
En düşük TLS sürümünü zorunlu tutarken, daha sonra en düşük sürüm zorlamasını devre dışı bırakamazsiniz.
Tek sunucunuz için TLS ayarının nasıl ayar PostgreSQL için Azure Veritabanı için bkz. TLS ayarını yapılandırma.
Tek sunucuya PostgreSQL için Azure Veritabanı şifreleme desteği
SSL/TLS iletişimin bir parçası olarak şifre paketleri doğrulanır ve veritabanı sunucusuyla iletişim kurmak için yalnızca destek şifreleme uygunlarına izin verilir. Şifreleme paketi doğrulaması ağ geçidi katmanında denetlenır ve düğümün kendisinde açıkça denetlenz. Şifreleme paketleri aşağıda listelenen paketlerin biri ile eşlenemse gelen istemci bağlantıları reddedilir.
Şifreleme paketi desteklandı
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Sonraki adımlar
Uygulama için bağlantı kitaplıkları'nın çeşitli uygulama bağlantı seçeneklerini PostgreSQL için Azure Veritabanı.