Solución de errores de conexión TLS

Validación de la configuración del cliente

Para validar la configuración del cliente antes de cualquier rotación planeada, asegúrese de implementar las configuraciones recomendadas para TLS.

Verifica tu almacén de certificados raíz

Asegúrese de que el almacén de certificados raíz del cliente contiene los certificados raíz mínimos necesarios o el conjunto completo de certificados raíz.

Determinación del estado de conexión TLS

Para determinar el estado de conexión TLS actual, cargue la extensión sslinfo y, a continuación, llame a la ssl_is_used() función para determinar si se usa TLS. La función devuelve t si la conexión usa TLS. De lo contrario, devuelve f. También puede recopilar toda la información sobre el uso de TLS en la instancia de servidor flexible de Azure Database for PostgreSQL por proceso, cliente y aplicación mediante la consulta siguiente:

SELECT datname as "Database name", usename as "User name", ssl, client_addr, application_name, backend_type
   FROM pg_stat_ssl
   JOIN pg_stat_activity
   ON pg_stat_ssl.pid = pg_stat_activity.pid
   ORDER BY ssl;

Prueba de la conexión TLS mediante OpenSSL

Para realizar pruebas, use el openssl comando para conectarse a Azure Database for PostgreSQL y mostrar los certificados TLS.

openssl s_client -starttls postgres -showcerts -connect <your-postgresql-server-name>:5432

Este comando muestra información de protocolo de bajo nivel, como la versión de TLS y el cifrado. Debe usar la opción -starttls postgres. De lo contrario, este comando informa de que no hay NINGÚN TLS en uso. El uso de este comando requiere al menos OpenSSL 1.1.1.

Réplicas de lectura

Cuando se produce la migración de CA raíz a Microsoft RSA Root CA 2017, las réplicas recién creadas pueden usar un certificado de entidad de certificación raíz más reciente que el servidor principal si este último se creó anteriormente. Para los clientes que usan las configuraciones sslmode=verify-ca y sslmode=verify-full, debe aceptar los certificados de CA raíz nuevos y anteriores hasta que se complete la rotación en servidores nuevos y existentes.

Troubleshoot

1. Reproduzca el problema.
2. Recopile datos de diagnóstico, como mensajes de error del lado del cliente, salida de psql, salida de OpenSSL s_client y registros de servidor.
3. Compruebe los parámetros del servidor, incluidos require_secure_transport, ssl_min_protocol_versiony ssl_max_protocol_version.
4. Compruebe la cadena de certificados y la configuración del cliente sslmode y sslrootcert para identificar desajustes en las versiones de protocolo, los conjuntos de cifrado, o los certificados que faltan o rotados.

Errores de conectividad TLS

1. Identifique los mensajes de error que usted o los usuarios ven al intentar acceder a la instancia de servidor flexible de Azure Database for PostgreSQL en cifrado TLS desde el cliente. Dependiendo de la aplicación y la plataforma, los mensajes de error pueden ser diferentes. En muchos casos, apuntan al problema subyacente.
2. Compruebe la configuración de TLS del servidor de bases de datos y el cliente de la aplicación para asegurarse de que admiten versiones compatibles y conjuntos de cifrado.
3. Analice las discrepancias o lagunas entre el servidor de bases de datos y las versiones tls del cliente y los conjuntos de cifrado. Intente resolverlos habilitando o deshabilitando determinadas opciones, actualizando o degradando software, o cambiando certificados o claves. Por ejemplo, es posible que tenga que habilitar o deshabilitar versiones TLS específicas en el servidor o el cliente, en función de los requisitos de seguridad y compatibilidad. Es posible que tenga que deshabilitar TLS 1.0 y TLS 1.1, que se consideran no seguros y en desuso, y habilitar TLS 1.2 y TLS 1.3, que son más seguros y modernos.
4. El certificado más reciente emitido por Microsoft RSA Root CA 2017 tiene un nivel intermedio en la cadena firmado por Digicert Global Root G2 CA. Algunas de las bibliotecas cliente de Postgres, al usar sslmode=verify-full o sslmode=verify-ca configuración, pueden experimentar errores de conexión con certificados de entidad de certificación raíz firmados con certificados intermedios. El resultado son rutas de acceso de confianza alternativas.

Para solucionar estos problemas, agregue todos los certificados necesarios al almacén de certificados de cliente o especifique explícitamente el sslrootcert parámetro . O bien, establezca la variable de entorno PGSSLROOTCERT en la ruta de acceso local en la que se coloque el CA raíz Microsoft RSA Root CA 2017, desde el valor predeterminado de %APPDATA%\postgresql\root.crt.

Problemas de la entidad de certificación

1. Cree una lista de certificados en su almacén raíz de confianza.
   • Por ejemplo, puede obtener una lista de certificados de confianza en el Almacén de claves de Java mediante programación.
   • Por ejemplo, puede comprobar el almacén de claves java de cacerts para ver si ya contiene certificados necesarios.
2. Está usando el anclaje de certificados si tiene certificados intermedios individuales o certificados de servidor postgreSQL individuales. No se admite esta configuración.
3. Para eliminar el anclaje de certificados, elimine todos los certificados del almacén raíz de confianza y agregue solo certificados de entidad de certificación raíz.

Si experimenta problemas incluso después de seguir estos pasos, póngase en contacto con el soporte técnico de Microsoft. Incluya ICA Rotation 2026 en el título.

Problemas de anclaje de certificados

Si no usa la configuración sslmode=verify-full o sslmode=verify-ca en la cadena de conexión de su aplicación cliente, las rotaciones de certificados no le afectan. Por lo tanto, no es necesario seguir los pasos descritos en esta sección.

1. Compruebe si usa el anclaje de certificados en la aplicación.
2. Cree una lista de certificados en el almacén raíz de confianza. Por ejemplo:
   • Obtenga una lista de certificados de confianza en el Almacén de claves de Java mediante programación.
   • Compruebe cacerts java keystore para ver si ya contiene certificados necesarios.
3. Está usando el anclaje de certificados si tiene certificados intermedios individuales o certificados de servidor postgreSQL individuales.
4. Para quitar el anclaje de certificados, quite todos los certificados del almacén raíz de confianza y agregue los nuevos certificados.
5. Puede descargar los certificados actualizados del repositorio oficial de Microsoft: detalles de la entidad de certificación de Azure.

Si experimenta problemas incluso después de seguir estos pasos, póngase en contacto con el soporte técnico de Microsoft. Incluya ICA Rotation 2026 en el título.

Comprobación de la cadena de certificados

Cadena antigua

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
  • Certificado de servidor

Nueva cadena

• DigiCert Global Root G2
  • Raíz de RSA G2 de Microsoft TLS
  • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
  • Certificado de servidor

Contenido relacionado

• TLS en la base de datos de Azure para PostgreSQL
• Cómo conectarse a Azure Database para PostgreSQL usando TLS