postgresql-11启用ssl安全连接方式

最新推荐文章于 2024-08-12 14:28:10 发布
最新推荐文章于 2024-08-12 14:28:10 发布
阅读量7.4k 收藏 16
点赞数 1
分类专栏: liunx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38981831/article/details/104995027
版权

原因

为了提高postgresql数据库连接访问安全性,降低数据传输是被窃取偷听.所以对postgresql数据库启用ssl安全传输功能.

操作环境:

  • Liunx(Centos7.6)
  • postgresql-11.5

1.postgresql安装(略)

注意: 编译配置时应该加上 --with-openssl参数,让postgresql支持ssl认证方式,即
./configure ... --with-openssl

2.准备证书

  • 2.1 准备根证书 ca.key(私钥),ca.crt(公钥)(可由公证机构提供,咋们没有,只能使用自签名证书)

创建私钥ca.key,使用des3算法,有效期2048天

openssl genrsa -des3 -out ca.key 2048

  • 创建ca.crt

  • 生成根CA证书请求(.csr)
openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=example"
  • 自签名得到公钥根证书(.crt)
openssl x509 -req -days 2048  -in ca.csr -signkey ca.key -out ca.crt

2.2 准备服务器证书 server.key(私钥),server.crt(公钥)

  • 创建服务器私钥

openssl genrsa -des3 -out server.key 2048

  • 生成服务端证书签名请求

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=PGServer"

  • 使用ca根证书对服务器证书签名生成公钥

openssl x509 -req  -days 2048 -sha256 -CA ca.crt -CAkey ca.key  -CAcreateserial -in server.csr -out server.crt

可选移除pass phrase, 为了方便做自启动脚本, 不然的话数据库启动时又要提示你输入pass phrase.
openssl rsa -in server.key -out $PGDATA/server.key

  • 准备root.crt证书

    两种方式可选其中一种
  • 1.直接使用ca.crt
cp   ca.crt root.crt
  • 2.使用ca.crt+ server.crt
cp   ca.crt root.crt
cat server.crt>>root.crt

3.修改配置postgresql配置

  • 复制root.crt,server.crt,server.key证书文件到$PGDATA,并修改其中的权限,要求权限是0600以下的.

cp root.crt $PGDATA
cp server.crt $PGDATA
cp server.key $PGDATA
chmod 0400 $PGDATA/root.crt
chmod 0400 $PGDATA/server.crt
chmod 0400 $PGDATA/server.key

  • 修改postgresql.conf

ssl = on
ssl_ca_file = 'root.crt'
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'

需要提供ca的公钥,服务器私钥与服务器公钥

  • 修改pg_hba.conf

增加连接访问ssl的配置

hostssl 	all 		all 		192.168.12.1/24 	cert	clientcert=1,map=m1
  • hostssl 表示使用ssl方式连接数据库
  • all 表示可访问所有的库,可配置指定库
  • all 表示所有用户都可以使用这个方式连接数据库,可配置指定用户
  • 192.168.12.1/24 表示192.168.12.0-192.168.12.255这个网段的ip可以连接数据库
  • cert clientcert=1 表示使用ssl证书进行认证,且不可用忽略提供证书绕过认证
  • map=m1 表示使用pg_ident.conf中m1的用户映射规则

  • 修改pg_ident.conf

    添加内容
m1	PGClient	example
  • 表示PGClient用户映射到example用户,即PGClient用户以example用户身份登录,其中PGClient用户可以不在数据库用户中.

5.启动数据库服务

pg_ctl -D $PGDATA -l logfile restart

6.配置客户端证书

既然服务端已经使用ssl连接了,肯定要为连接客户端提供证书

  • 创建客户端私钥

openssl genrsa -des3 -out postgresql.key 2048

  • 生成客户端证书签名请求

openssl req -new -key postgresql.key -out postgresql.csr -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=example/OU=GZYFZX/CN=PGClient"

  • 使用ca根证书对客户端证书签名生成公钥

openssl x509 -req  -days 2048 -sha256 -CA ca.crt -CAkey ca.key  -CAcreateserial -in postgresql.csr -out postgresql.crt

7.客户端连接

7.1命令行客户端连接

  • 把客户端证书放到postgres 用户的.postgresql目录

使用postgres用户复制客户端证书到postgres 用户的.postgresql目录下

cp root.crt ~/.postgresql
cp server.crt ~/.postgresql
cp server.key ~/.postgresql
chmod 0400 ~/.postgresql/root.crt
chmod 0400 ~/.postgresql/server.crt
chmod 0400 ~/.postgresql/server.key

测试连接

psql postgresql://example@192.168.12.190:5432/example?ssl=true

出现类似以下信息表示成功连接

psql (11.2, 服务器 11.5)
SSL 连接(协议:TLSv1.2,密码:ECDHE-RSA-AES256-GCM-SHA384,密钥位:256,压缩:关闭)
输入 “help” 来获取帮助信息.

  • 把客户端证书放到非.postgresql目录下,如/tmp/psqlssl目录下

同样,证书拥有者是postgres,权限为0600才可以

psql postgresql://example@192.168.12.190:5432/example?ssl=true\&sslrootcert=/tmp/psqlssl/root.crt\&sslkey=/tmp/psqlssl/postgresql.key\&sslcert=/tmp/psqlssl/postgresql.crt

7.2 Jdbc连接

创建jdbc可识别的key格式

jdbc官方说明:

sslkey =字符串
提供密钥文件的完整路径。默认为/defaultdir/postgresql.pk8。
注意:密钥文件必须为PKCS-8 DER格式。可以使用openssl命令将PEM密钥转换为DER格式:
openssl pkcs8 -topk8 -inform PEM -in my.key -outform DER -out my.key.der

openssl pkcs8 -topk8 -inform PEM -in postgresql.key -outform DER -nocrypt -out postgresql.pk8

假设证书目录为/tmp/psqlssl

  • verify-full全校验方式

  		String url="jdbc:postgresql://PGServer:5432/example?ssl=true&sslrootcert=/tmp/psqlssl/root.crt"
				+ "&sslkey=/tmp/psqlssl/postgresql.pk8&sslcert=/tmp/upssl/postgresql.crt&sslpassword=example";

		String driver = "org.postgresql.Driver";
		Class.forName(driver);
		Properties props = new Properties();
		props.setProperty("user", "example");
		Connection conn = DriverManager.getConnection(url,props);
  • 注意:PGServer 表示域名,必须与server.crt 的-subj中的CN 值一致
    可在/etc/hosts 中添加:
    192.168.12.190 PGServer
    以完成把PGServer映射到192.168.12.190

  • verify-ca校验方式

假设证书目录为/tmp/psqlssl

  		String url="jdbc:postgresql://192.168.12.190:5432/example?ssl=true&sslmode=verify-ca&sslrootcert=/tmp/psqlssl/root.crt"
				+ "&sslkey=/tmp/psqlssl/postgresql.pk8&sslcert=/tmp/upssl/postgresql.crt&sslpassword=qzt360";

		String driver = "org.postgresql.Driver";
		Class.forName(driver);
		Properties props = new Properties();
		props.setProperty("user", "example");
		Connection conn = DriverManager.getConnection(url,props);

与verify-full校验方式相比,verify-ca校验方式可以不校验hostname.

spring boot配置datasource.url

spring.datasource.url=jdbc:postgresql://PGServer:5432/example?ssl=true&sslrootcert=/tmp/psqlssl/root.crt&sslkey=/tmp/psqlssl/postgresql.pk8&sslcert=/tmp/upssl/postgresql.crt&sslpassword=example
spring.datasource.user=example

其他

  • 查看证书内容

openssl x509 -in postgresql.crt -noout -text

  • 去掉证书的密码保护

openssl rsa -in postgresql.key -out postgresql.key
luowuhui。
关注
专栏目录
postgresqlssl
深海微澜
05-29 2536
1、PostgreSqlSSL ? PostgreSQL支持使用SSL连接加密客户端/服务器通信,以提高链路全性。这要求在客户端和服务器系统上都装OpenSSL,并且在构建时启用PostgreSQL中的ssl支持(使用源码装时的--with-openssl参数)。 2、什么是OpenSSL? OpenSSL是一个工具包,用于Transport Layer Security(TLS)和Secure Sockets Layer(SSL)协议。它也是一个通用的密码学库。 Open...
PostgreSQL 用户及授权管理 06:启用 SSL 及验证
cc20100608的专栏
06-26 1676
最后,如果配置得当,服务器可以通过 SSL 处理网络连接,从而加密所有网络流量和数据。如果在外企工作的话,那么他们对全要求是非常严格的,在他们那里:全第一,业务第二。在国内的企业可能要求的就没那么高了。这一节里面介绍的内容在国内企业用的虽然不多,但是这节的内容非常重要,推荐大家掌握。虽然国内企业不那么重视全,但我们却不能不重视。
PostgreSQL 使用 ---- 配置 SSL/TLS/TLCP 加密传输
最新发布
你好!我是一名互联网搬砖的菜鸟,我的博客主要记录我在工作和学习过程中积累的项目经验和技术总结。 我希望通过这些文章,能够帮助更多的开发者解决实际问题,提高开发效率。 欢迎大家订阅我的博客,期待与你们的互动和交流!
08-12 1051
介绍 PostgreSQL 数据库 SSL/TLS、TLCP 加密通讯的使用
PostgreSQLSSL部署
trainee的专栏
06-03 1955
随着云服务器的兴起,越来越多的数据库服务器被装在远程。用SSL连接代替明文连接,是数据库的基本全功能。很庆幸PostgreSQL很早就支持openSSL,各发行版本都带有openSSL连接库(libeay32.dll和ssleay32.dll,可能还有某版本VC运行库)。 PostgreSQLSSL连接分两块: 1、服务端的SSL验证:用SSL连接代替明文连接以防止网络包被窃听和防止他人伪装成服务器 2、客户端的SSL验证:用客户端SSL证书登录代替密码登录。 本文只讲第一块:服务端的SSL验证。以下
JDBC通过SSL方式连接PostgreSQL
总想试试,万一成了呢??
06-11 4298
环境说明 PostgreSQL版本 PostgreSQL 9.4 docker容器 pom.xml <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.18</version> </dependency> JDK版本 JDK 1.8 Postgr
连接pgsql数据库 sslmode sslrootcert sslkey sslcert 参数的作用
罪域之骨终成王
08-18 1568
sslmode参数用于指定数据库连接时使用的 SSL 加密模式。SSL(Secure Sockets Layer)是一种加密协议,用于保护数据在客户端和服务器之间的传输过程,以增加数据传输的全性。sslmode参数可以设置不同的值,以控制数据库连接时 SSL 的使用方式。以下是一些常见的sslmodeallow使用适当的sslmode值可以根据全需求配置数据库连接。在不同的环境中,可能需要根据情况选择适合的 SSL 加密级别,以保护数据库传输中的数据全。
PostgreSQL-9.2.4-1-windows-x64.rar
12-01
9. **全设置**:为了确保数据库的全,你应该立即更改默认的超级用户密码,并考虑启用SSL连接以增强数据传输的全性。 10. **数据库创建**:作为数据库管理员,你可以使用`createdb`命令创建新的数据库,每个...
postgresql-11官方文档
01-17
总的来说,"postgresql-11官方文档"是学习和参考PostgreSQL 11的权威资料,通过深入阅读和实践,你可以全面掌握这个强大开源数据库的使用。解压后的"postgresql-11-A4.pdf"文件,是你探索这个数据库世界的起点。
postgresql-12.5-1-windows-x64-binaries.zip
01-10
- SSL加密可以启用以确保传输全。 7. **扩展与功能**: - PostgreSQL支持多种数据类型,包括数组、XML、JSON、HSTORE等,适应现代应用的需求。 - 丰富的函数库和操作符,如窗口函数、GIS支持和全文搜索。 8. ...
postgresql-10.18-1-windows-x64-binaries.zip
10-18
- SSL连接:启用SSL加密,保护数据传输的全。 6. **扩展功能**: - PostGIS:提供空间和地理数据支持,用于地理位置应用。 - PL/pgSQL:内置过程语言,用于编写存储过程和触发器。 - contrib模块:包含许多...
postgresql-11.4.tar.gz
03-03
1. 使用SSL/TLS加密连接:配置PostgreSQL启用SSL连接,保护数据传输的全。 2. 定期执行VACUUM和REINDEX:保持数据库的健康状态,避免性能下降。 3. 监控和日志:设置日志记录,定期检查系统资源使用情况,以便...
PostgreSQL学习之SSL证书生成及配置
weixin_38700215的博客
06-26 1194
1、上面的脚本需要一个参数,指定postgresql数据库data目录,脚本进入data目录生成证书并修改postgresql.conf中ssl相关参数配置;
JDBC连接数据库教程,以postgreSQL为例
热门推荐
菜鸟的蜕变
04-27 4万+
0、概述 本文借postgreSQL通过JDBC连接数据库的示例,介绍了常见数据库操作及JDBC的API、JDBC的一般工作流程及JDBC事务。 1、准备工作 A、下载装好postgreSQL数据库。 B、新建一个java项目,并导入postgreSQL的JDBC驱动程序jar包。 2、Java连接postgreSQL代码示例。 package vertxTest; impor
Postgresql 开启SSL连接
rli091的博客
11-05 1万+
参考网上的资料,基本步骤如下: 1 连接postgresql数据库 2 下载Openssl,官网有Windows装文件,装后配置环境变量 3 在data目录下使用OpenSSL创建如下文件: server.key server.crt root.crt 4 openssl genrsa -des3 -out server.key 1024 创建server.key文件,过程中回要...
GBase 8c以SSL方式通过JDBC连接-客户端配置
qq_41614765的博客
09-21 1103
* ================== 示例2.3 设置sslmode为verify-full,使用证书(Linux下验证) */ urls = "jdbc:postgresql://world:5600/postgres";/* ================== 示例2.2 设置sslmode为verify-ca,使用证书 */ urlProps.setProperty("sslmode", "verify-ca");* ================== 示例2 使用证书。
等保: Postgresql配置ssl链接
weixin_43557605的博客
08-17 3567
等保: postgresql配置ssl链接完整方案和避坑指南
kettle连接开启了SSLpostgresql数据库配置
qq_45173382的博客
06-05 982
1:得到数源给到的数据库连接证书,一般分为(ca.crt;3:接下来修改kettle连接串;库名后加入证书和秘钥信息即可。2:使用数据库连接根据测试证书是否可用;
JDBC连接PgSQL(PostgreSQL)数据库
lhg665
04-18 3万+
一、工具 (1)Java开发平台:IntelliJ IDEA 2018.3.6 (2)PgSQL数据库:postgresql-9.5.21(其他版本也行) (3)数据库管理软件:Navicat Premium 15 (4)PgSQL连接驱动:postgresql-42.3.3.jar 二、准备工作 在连接之前应先完成一下工作: (1)在IDEA中新建一个JAVA项目文件 (2)下载装PgSQL数据库 (3)在Navicat中搭建PgSQL数据库 在IDEA中新建一个JAVA项目文件相对比较容易,再次不再赘
PostgreSQL JDBC连接详解(附DEMO)
沉淀、分享、成长,让自己和他人都能有所收获!
11-07 6808
在本篇博客中,我们将深入研究PostgreSQL JDBC连接,重点关注Java中的可变参数。通过丰富的内容和详细的示例代码,我们将探讨JDBC基础、PostgreSQL JDBC连接配置、数据库操作、数据查询与优化、PreparedStatement的使用、连接池配置、连接超时和查询超时设置、数据库连接的合理使用和关闭,以及常见问题和解决方法。本文使用Java语言表达,加入了丰富的小表情,使得内容更加生动有趣。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值