Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des applications pour se connecter aux instances de base de données PostgreSQL à l'aide de nouveaux certificats SSL/TLS

Certificats utilisés pour Secure Socket Layer ou Transport Layer Security (SSL/TLS) typically have a set lifetime. When service providers update their Certificate Authority (CA) certificates, clients must update their applications to use the new certificates. Following, you can find information about how to determine if your client applications use SSL/TLSpour vous connecter à votre instance de base de données Amazon RDS for PostgreSQL). Vous trouverez également des informations sur la façon de vérifier si ces applications vérifient le certificat du serveur lorsqu'elles se connectent.

Une fois que vous avez mis à jour les certificats de l'autorité de certification dans les magasins d'approbations des applications clientes, vous pouvez soumettre les certificats de vos instances de bases de données à une rotation. Nous vous recommandons vivement de tester ces procédures dans un environnement de développement ou intermédiaire avant de les implémenter dans vos environnements de production.

Pour plus d’informations sur la rotation de certificats, consultez Rotation de votre SSL/TLS certificat. Pour en savoir plus sur le téléchargement de certificats, consultez . Pour plus d'informations sur l'utilisation SSL/TLS avec les instances de base de données PostgreSQL, consultez. Utilisation de SSL avec une instance de base de données PostgreSQL

Contrôle de la connexion des applications aux instances de bases de données PostgreSQL avec le protocole SSL

Dans la configuration de l'instance de base de données, vérifiez la valeur du paramètre rds.force_ssl. Par défaut, le paramètre rds.force_ssl est défini sur 0 (désactivé) pour les instances de base de données utilisant des versions de PostgreSQL antérieures à la version 15. Par défaut, rds.force_ssl est défini sur 1 (activé) pour les instances de base de données utilisant des versions de PostgreSQL version 15 et ultérieures majeures. Si le rds.force_ssl paramètre est défini sur 1 (activé), les clients doivent l'utiliser SSL/TLS pour les connexions. Pour plus d'informations sur les groupes de paramètres, consultez Groupes de paramètres pour Amazon RDS.

Si vous utilisez RDS PostgreSQL version 9.5 ou ultérieure et que rds.force_ssl n'est pas défini sur 1 (activé), interrogez la vue pg_stat_ssl afin de vérifier les connexions à l'aide du protocole SSL. Par exemple, la requête suivante retourne uniquement les connexions SSL et les informations sur les clients utilisant un protocole SSL.

SELECT datname, usename, ssl, client_addr 
  FROM pg_stat_ssl INNER JOIN pg_stat_activity ON pg_stat_ssl.pid = pg_stat_activity.pid
  WHERE ssl is true and usename<>'rdsadmin';

Seules les lignes utilisant SSL/TLS des connexions sont affichées avec des informations sur la connexion. Voici un exemple de sortie.

 datname  | usename | ssl | client_addr 
----------+---------+-----+-------------
 benchdb  | pgadmin | t   | 53.95.6.13
 postgres | pgadmin | t   | 53.95.6.13
(2 rows)

La requête n'affiche que les connexions actives au moment de la requête. L'absence de résultats n'implique pas forcément qu'aucune application n'utilise de connexions SSL. D’autres connexions SSL peuvent avoir été établies à un moment différent.

Contrôle de la nécessité d’une vérification du certificat du client pour qu’il puisse se connecter

Quand un client, tel que psql ou JDBC, est configuré avec la prise en charge du protocole SSL, le comportement par défaut est le suivant : le client essaie d’abord de se connecter à la base de données avec le protocole SSL. En cas d’impossibilité, le client revient à la connexion sans protocole SSL. Le mode sslmode utilisé par défaut pour les clients libpq (comme psql) et JDBC est défini sur prefer. Le certificat sur le serveur n’est vérifié que lorsque sslrootcert est fourni avec sslmode défini sur verify-ca ou verify-full. En cas de non-validité du certificat, une erreur est déclenchée.

Utilisez PGSSLROOTCERT pour vérifier le certificat avec la variable d’environnement PGSSLMODE, avec PGSSLMODE défini sur verify-ca ou verify-full.

PGSSLMODE=verify-full PGSSLROOTCERT=/fullpath/ssl-cert.pem psql -h pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com -U masteruser -d postgres

Utilisez l’argument sslrootcert pour vérifier le certificat ayant sslmode comme format de chaîne de connexion, avec sslmode défini sur verify-ca ou verify-full.

psql "host=pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com sslmode=verify-full sslrootcert=/full/path/ssl-cert.pem user=masteruser dbname=postgres"

Par exemple, dans le cas précédent, si vous utilisez un certificat racine non valide, une erreur similaire à celle qui suit s'affiche sur votre client.

psql: SSL error: certificate verify failed

Mise à jour du magasin d’approbations de votre application

Pour plus d'informations sur la mise à jour du trust store pour les applications PostgreSQL, consultez la section Connexions TCP/IP sécurisées avec SSL dans la documentation de PostgreSQL.

Pour plus d’informations sur le téléchargement du certificat racine, consultez .

Pour obtenir des exemples de scripts qui importent des certificats, consultez Exemple de script pour importer les certificats dans votre magasin d’approbations.

Utilisation de SSL/TLS connexions pour différents types d'applications

Vous trouverez ci-dessous des informations sur l'utilisation SSL/TLS des connexions pour différents types d'applications :