postgresql 启用ssl安全连接方式

这篇具有很好参考价值的文章主要介绍了postgresql 启用ssl安全连接方式。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SSL的验证流程

postgresql 启用ssl安全连接方式

利用openssl环境自制证书

postgresql 启用ssl安全连接方式

CA 证书签发

创建私钥ca.key,使用des3算法,有效期2048天

openssl genrsa -des3 -out ca.key 2048


生成根CA证书请求(.csr)

openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=example"

自签名得到公钥根证书(.crt)

openssl x509 -req -days 2048  -in ca.csr -signkey ca.key -out ca.crt

服务器证书签发

生成服务器私钥

openssl genrsa -des3 -out server.key 2048

生成服务端证书签名请求

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=PGServer"

使用ca根证书对服务器证书签名生成公钥

openssl x509 -req  -days 2048 -sha256 -CA ca.crt -CAkey ca.key  -CAcreateserial -in server.csr -out server.crt

客户端证书

生成客户端私钥

openssl genrsa -des3 -out postgresql.key 2048

生成客户端证书签名请求

openssl req -new -key postgresql.key -out postgresql.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=PGClient"

使用ca根证书对客户端证书签名生成公钥

openssl x509 -req  -days 2048 -sha256 -CA ca.crt -CAkey ca.key  -CAcreateserial -in postgresql.csr -out postgresql.crt

pg配置postgresql.conf修改

直接 cp ca.crt root.crt 使用ca的就可以。
我们一般会配置ssl、ssl_cert_file、ssl_key_file这三个,其他的一般维持默认值。这是三个参数分别的含义如下:

ssl: 是否支持SSL连接。默认是关闭的。

ssl_cert_file:指定包含SSL服务器证书的文件的名称。默认是server.crt。相对路径相对于数据目录。

ssl_key_file:指定包含SSL服务器私钥的文件的名称。默认是server.key。相对路径相对于数据目录。

ssl = on
ssl_ca_file = 'root.crt'
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'

将ssl设置为on,即表示打开ssl。SSL打开后,此时服务器将侦听同一TCP端口上的正常连接和SSL连接,并与任何连接客户机协商是否使用SSL。

注意:

(1)要在SSL模式下启动,必须包含服务器证书和私钥的文件。默认情况下,这些文件将被命名为server.crt和server.key。但是可以使用配置参数ssl_cert_file和ssl_key_file指定其他名称和位置。

(2)配置了SSL=on,并不代表会确保所有客户端总是通过SSL连接, 它只是表示允许使用SSL。如果想要确保所有连接都是用ssl, 还需要结合pg_hba.conf进行配置。比如添加类似“hostssl all all 0.0.0.0/0 md5 \n hostnossl all all 0.0.0.0/0 reject” 这样的配置。文章来源地址https://www.toymoban.com/news/detail-450564.html

到了这里,关于postgresql 启用ssl安全连接方式的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • C#/.Net 爬虫request.GetResponse()报错:基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系/根据验证过程,远程证书无效

    首先,先放置一张报错的图片: 原因: 网站的证书应该是失效了,并且我发起的请求是基于Https的,所以被系统认定为不安全的连接。并且通过微软官方文档的解释如下: 解决方案: 1.需要使用 ServicePointManager.SecurityProtoco 属性,这个属性的解释如下,详细可以看官方文档:

    2024年02月16日
    浏览(55)
  • Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解

    ELK大家应该很了解了,废话不多说开始部署 kafka在其中作为消息队列解耦和让logstash高可用 kafka和zk 的安装可以参考这篇文章 深入理解Kafka3.6.0的核心概念,搭建与使用-CSDN博客 需要 elasticsearch-8.10.4 logstash-8.10.4 kibana-8.10.4 kafka_2.13-3.6.0 apache-zookeeper-3.9.1-bin.tar filebeat-8.10.4-linux-

    2024年02月04日
    浏览(43)
  • PostgreSQL 连接是否要通过SSL,为什么使用SSL 连接后,业务部门会投诉我?

    开头还是介绍一下群,如果感兴趣PolarDB ,MongoDB ,MySQL ,PostgreSQL ,Redis, Oceanbase, Sql Server等有问题,有需求都可以加群群内有各大数据库行业大咖,CTO,可以解决你的问题。加群请联系 liuaustin3 ,(共1680人左右 1 + 2 + 3 + 4) 3群突破 490已关闭自由申请如需加入请提前说明,新人会

    2024年02月05日
    浏览(48)
  • 帝国cms后台启用SESSION验证增加安全性

    帝国目前在cms类开源php程序中算是比较安全的一款内容管理系统了,在安全方面帝国可以说是下了很大功夫,很多安全性方面的配置可能大家都没有注意到。 比如后台启用SESSION验证这个功能,默认它是不开启的,因为以前大家用的虚拟主机的居多而很多这种主机它是不劫持

    2024年02月04日
    浏览(44)
  • PostgreSQL安装和开启SSL加密连接【配置单/双向认证】

    SSL单向认证和双向认证: SSL单向认证 :只有一端校验对端的证书合法性,通常都是客户端来校验服务器的合法性。即在一般的单向认证中,只要求服务器端部署了ssl证书就行,客户端可以无证书,任何用户都可以去访问服务端,服务端只是提供了身份认证。 client: 无证书

    2024年02月06日
    浏览(46)
  • HttpClient未能为 SSL/TLS 安全通道建立信任关系,忽略SSL验证

    参考 https://www.cnblogs.com/RaymonGoGo/p/16705733.html

    2024年02月02日
    浏览(36)
  • 远程连接PostgreSQL:配置指南与安全建议

    🌷🍁 博主猫头虎(🐅🐾)带您 Go to New World✨🍁 🐅🐾猫头虎建议程序员必备技术栈一览表📖: 🛠️ 全栈技术 Full Stack : 📚 MERN/MEAN/MEVN Stack | 🌐 Jamstack | 🌍 GraphQL | 🔁 RESTful API | ⚡ WebSockets | 🔄 CI/CD | 🌐 Git Version Control | 🔧 DevOps 🌐 前端技术 Frontend : 🖋️ HTML CSS |

    2024年02月05日
    浏览(36)
  • 根据验证过程,远程证书无效。未能为 SSL/TLS 安全通道建立信任关系。

    提示:这里简述项目相关背景: 例如:项目场景:vs2022,HttpClient调用接口出现错误(根据验证过程,远程证书无效。未能为 SSL/TLS 安全通道建立信任关系。) 缺少证书,需要在安装证书 点击安装证书=》本地计算机=》下列存储,选择受信任的根证书颁发机构,安装完成之后

    2024年02月11日
    浏览(63)
  • 阿里云申请免费SSL证书的两种验证方式及配置服务器Tomcat升级HTTPS协议

    通用教程,其他服务商的免费 SSL 证书也差不多是这个流程。(至少腾讯云的操作步骤和本文是一致,嘻嘻!) 首先在阿里云上创建并申请 SSL 证书,之后选择 DNS 验证的方式,一种是手动配置解析地址进行验证,另一种是在服务器上放置一个验证文件进行验证。 手动 DNS 验证

    2024年02月10日
    浏览(96)
  • 解释SSL/TLS握手过程&如何设计一个安全的Web应用身份验证机制

    一、请解释SSL/TLS握手过程 SSL/TLS握手过程是实现安全通信的关键步骤,它确保了通信双方能够建立一个加密且可信赖的连接。以下是SSL/TLS握手过程的主要步骤: ClientHello :客户端向服务器发送一个起始握手消息,这个消息包含支持的SSL/TLS版本号、加密套件候选列表以及一个

    2024年04月10日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包