Query Service SSL-alternativ
För ökad säkerhet, Adobe Experience Platform Query Service har inbyggt stöd för SSL-anslutningar för kryptering av klient-/serverkommunikation. Det här dokumentet innehåller tillgängliga SSL-alternativ för klientanslutningar från tredje part till Query Service och hur du ansluter med verify-full
SSL-parametervärde.
Förutsättningar
Det här dokumentet förutsätter att du redan har laddat ned ett klientprogram från tredje part för användning med plattformsdata. Specifika anvisningar om hur SSL-säkerhet ska infogas vid anslutning till en tredjepartsklient finns i respektive anslutningsguide. För en lista med alla Query Service klienter som stöds, se översikt över klientanslutningar.
Tillgängliga SSL-alternativ available-ssl-options
Plattformen har stöd för olika SSL-alternativ som passar dina datasäkerhetsbehov och som balanserar bearbetningskostnaderna för kryptering och nyckelutbyte.
Skillnaden sslmode
parametervärden ger olika skyddsnivåer. Genom att kryptera dina data i rörelse med SSL-certifikat hjälper det till att förhindra MITM-attacker (man-in-the-middle), tjuvlyssning och personifiering. Tabellen nedan innehåller en beskrivning av de olika SSL-lägena som är tillgängliga och den skyddsnivå de erbjuder.
disable
stöds inte av Adobe Experience Platform på grund av att dataskydd krävs.allow
prefer
require
verify-ca
verify-full
verify-ca
och verify-full
beror på rotcertifikatutfärdarens profil. Om du har skapat en egen lokal certifikatutfärdare för att utfärda privata certifikat för dina program använder du verify-ca
ger ofta tillräckligt skydd. Om du använder en offentlig certifikatutfärdare verify-ca
tillåter anslutningar till en server som någon annan kan ha registrerat hos certifikatutfärdaren. verify-full
ska alltid användas med en offentlig rotcertifikatutfärdare.När du upprättar en tredjepartsanslutning till en plattformsdatabas bör du använda sslmode=require
till ett minimum för att säkerställa en säker anslutning för dina data i rörelse. The verify-full
SSL-läge rekommenderas för de flesta säkerhetskänsliga miljöer.
Konfigurera ett rotcertifikat för serververifiering root-certificate
Även om detta är ett årligt krav har rotcertifikatet i kedjan även ändrats eftersom Adobe TLS/SSL-certifikatprovidern har uppdaterat sin certifikathierarki. Detta kan påverka vissa Postgres-klienter om deras lista över certifikatutfärdare saknar rotcertifikatet. En PSQL CLI-klient kan till exempel behöva lägga till rotcertifikaten i en explicit fil
~/postgresql/root.crt
, annars kan det leda till ett fel. Till exempel: psql: error: SSL error: certificate verify failed
. Se officiell PostgreSQL-dokumentation om du vill ha mer information om problemet.Rotcertifikatet som ska läggas till kan hämtas från https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem.
För att säkerställa en säker anslutning måste SSL-användningen konfigureras på både klienten och servern innan anslutningen görs. Om SSL bara är konfigurerat på servern kan klienten skicka känslig information, till exempel lösenord, innan det etableras att servern kräver hög säkerhet.
Som standard PostgreSQL utför ingen verifiering av servercertifikatet. Verifiera serverns identitet och säkerställa en säker anslutning innan känsliga data skickas (som en del av SSL verify-full
måste du placera ett rotcertifikat (självsignerat) på den lokala datorn (root.crt
) och ett lövcertifikat som signerats av rotcertifikatet på servern.
Om sslmode
parametern är inställd på verify-full
, kommer libpq att verifiera att servern är tillförlitlig genom att kontrollera certifikatkedjan upp till rotcertifikatet som lagras på klienten. Sedan verifieras att värdnamnet matchar namnet som lagras i servercertifikatet.
Om du vill tillåta verifiering av servercertifikat måste du placera ett eller flera rotcertifikat (root.crt
) i PostgreSQL i din arbetskatalog. Filsökvägen liknar ~/.postgresql/root.crt
.
Aktivera verifieringsläge för fullständig SSL för användning med tredje part Query Service anslutning instructions
Om du behöver striktare säkerhetskontroll än sslmode=require
kan du följa de markerade stegen för att ansluta en tredjepartsklient till Query Service använda verify-full
SSL-läge.
-
Navigera till listan över tillgängliga DigiCert-rotcertifikat
-
Sök efter "DigiCert Global Root G2" i listan över tillgängliga certifikat.
-
Välj Hämta PEM för att hämta filen till din lokala dator.
-
Byt namn på säkerhetscertifikatfilen till
root.crt
. -
Kopiera filen till PostgreSQL mapp. Den nödvändiga filsökvägen varierar beroende på operativsystem. Om mappen inte redan finns skapar du den.
- Om du använder macOS är sökvägen
/Users/<username>/.postgresql
- Om du använder Windows är sökvägen
%appdata%\postgresql
- Om du använder macOS är sökvägen
%appdata%
filens plats i ett Windows-operativsystem, tryck ⊞ Win + R och indata %appdata%
i sökfältet.Efter DigiCert Global Root G2 CRT-filen är tillgänglig i PostgreSQL mapp kan du ansluta till Query Service med sslmode=verify-full
eller sslmode=verify-ca
alternativ.
Nästa steg
Genom att läsa det här dokumentet får du en bättre förståelse för de tillgängliga SSL-alternativen för att ansluta en tredjepartsklient till Query Serviceoch även hur du aktiverar verify-full
SSL-alternativ för att kryptera dina data i rörelse.
Om du inte redan har gjort det, följ anvisningarna på ansluta en tredjepartsklient till Query Service.