Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des applications pour se connecter aux SQL instances de base de données Postgre à l'aide de nouveaux certificatsSSL/TLS

Les certificats utilisés pour Secure Socket Layer ou Transport Layer Security (SSL/TLS) ont généralement une durée de vie définie. Lorsque les fournisseurs de services mettent à jour leurs certificats d'autorité de certification (CA), les clients doivent mettre à jour leurs applications pour utiliser les nouveaux certificats. Vous trouverez ci-dessous des informations sur la manière de déterminer si vos applications clientes utilisentSSL/TLSpour se connecter à votre SQL instance de base de données Amazon RDS for Postgre. Vous trouverez également des informations sur la façon de vérifier si ces applications vérifient le certificat du serveur lorsqu'elles se connectent.

Une fois que vous avez mis à jour les certificats de l'autorité de certification dans les magasins d'approbations des applications clientes, vous pouvez soumettre les certificats de vos instances de bases de données à une rotation. Nous vous recommandons vivement de tester ces procédures dans un environnement de développement ou intermédiaire avant de les implémenter dans vos environnements de production.

Pour de plus amples informations sur la rotation de certificats, veuillez consulter Rotation de votre TLS certificatSSL/. Pour en savoir plus sur le téléchargement de certificats, consultez . Pour plus d'informations sur l'utilisation deSSL/TLSavec les SQL instances de base de données Postgre, consultezUtilisation SSL avec une instance de SQL base de données Postgre.

Déterminer si les applications se connectent aux SQL instances de base de données Postgre à l'aide de SSL

Dans la configuration de l'instance de base de données, vérifiez la valeur du paramètre rds.force_ssl. Par défaut, le rds.force_ssl paramètre est défini sur 0 (off) pour les instances de base de données utilisant des SQL versions de Postgre antérieures à la version 15. Par défaut, rds.force_ssl il est défini sur 1 (activé) pour les instances de base de données utilisant Postgre SQL version 15 et versions majeures ultérieures. Si le rds.force_ssl paramètre est défini sur 1 (on), les clients doivent utiliserSSL/TLSpour les connexions. Pour plus d'informations sur les groupes de paramètres, consultez Groupes de paramètres pour Amazon RDS.

Si vous utilisez RDS Postgre SQL version 9.5 ou version majeure ultérieure et que ce paramètre n'rds.force_sslest pas défini sur 1 (activé), interrogez la pg_stat_ssl vue pour vérifier les connexions à l'aide SSL de. Par exemple, la requête suivante renvoie uniquement les SSL connexions et les informations sur les clients qui les utilisentSSL.

SELECT datname, usename, ssl, client_addr 
  FROM pg_stat_ssl INNER JOIN pg_stat_activity ON pg_stat_ssl.pid = pg_stat_activity.pid
  WHERE ssl is true and usename<>'rdsadmin';

Seules les lignes utilisant TLS les connexionsSSL/sont affichées avec des informations sur la connexion. Voici un exemple de sortie.

 datname  | usename | ssl | client_addr 
----------+---------+-----+-------------
 benchdb  | pgadmin | t   | 53.95.6.13
 postgres | pgadmin | t   | 53.95.6.13
(2 rows)

La requête n'affiche que les connexions actives au moment de la requête. L'absence de résultats n'indique pas qu'aucune application n'utilise de SSL connexions. D'autres SSL connexions peuvent être établies à un moment différent.

Contrôle de la nécessité d'une vérification du certificat du client pour qu'il puisse se connecter

Lorsqu'un client, tel que psql ouJDBC, est configuré avec le SSL support, le client essaie d'abord de se connecter à la base de données SSL par défaut. Si le client ne parvient pas à se connecter avecSSL, il revient à se connecter sansSSL. Le sslmode mode par défaut est utilisé pour les deux clients basés sur libpq (tels que psql) et JDBC est défini sur. prefer Le certificat sur le serveur n'est vérifié que s'il sslrootcert est doté de la sslmode valeur set to verify-ca ouverify-full. En cas de non-validité du certificat, une erreur est déclenchée.

PGSSLROOTCERTÀ utiliser pour vérifier le certificat à l'aide de la variable d'PGSSLMODEenvironnement, avec la valeur PGSSLMODE définie sur verify-ca ouverify-full.

PGSSLMODE=verify-full PGSSLROOTCERT=/fullpath/ssl-cert.pem psql -h pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com -U masteruser -d postgres

Utilisez l'sslrootcertargument pour vérifier le certificat au format chaîne de connexion, avec sslmode défini sur verify-ca ou verify-full pour vérifier le certificat. sslmode

psql "host=pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com sslmode=verify-full sslrootcert=/full/path/ssl-cert.pem user=masteruser dbname=postgres"

Par exemple, dans le cas précédent, si vous utilisez un certificat racine non valide, une erreur similaire à celle qui suit s'affiche sur votre client.

psql: SSL error: certificate verify failed

Mise à jour du magasin d'approbations de votre application

Pour plus d'informations sur la mise à jour du trust store pour les SQL applications Postgre, consultez la section Connexions TCP /IP sécurisées avec SSL dans la documentation SQL Postgre.

Pour plus d'informations sur le téléchargement du certificat racine, consultez .

Pour obtenir des exemples de scripts qui importent des certificats, consultez Exemple de script pour importer les certificats dans votre magasin d'approbations.

Utilisation TLS des connexionsSSL/pour différents types d'applications

Vous trouverez ci-dessous des informations sur l'utilisation TLS des connexionsSSL/pour différents types d'applications :