PostgreSQL的SSL部署

最新推荐文章于 2024-08-12 14:28:10 发布
最新推荐文章于 2024-08-12 14:28:10 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: postgresql 文章标签: ssl postgresql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trainee/article/details/106524078
版权

随着云服务器的兴起,越来越多的数据库服务器被安装在远程。用SSL连接代替明文连接,是数据库的基本安全功能。很庆幸PostgreSQL很早就支持openSSL,各发行版本都带有openSSL连接库(libeay32.dll和ssleay32.dll,可能还有某版本VC运行库)。

PostgreSQL的SSL连接分两块:
1、服务端的SSL验证:用SSL连接代替明文连接以防止网络包被窃听和防止他人伪装成服务器
2、客户端的SSL验证:用客户端SSL证书登录代替密码登录。

本文只讲第一块:服务端的SSL验证。以下是部署步骤,对SSL不了解者请先自行补脑一下。
一:修改postgresql.conf配置:
ssl改为on,ssl_cert_file设为证书文件,ssl_key_file设为私钥文件,只要这三个地方设置好就可以了,其他ssl设置属于高级型,选择默认就好。注意:ssl_ca_file是用在客户端SSL认证上,服务端的SSL验证和此参数无关。

二、生成证书文件和私钥文件,需要用到openssl命令(请自行到openssl网站上下载),以证书类型分为3类:
A: 自签名证书:证书颁发者和主题是一样,自己给自己颁发,此类证书不需要根证书认证,所以是不安全的,是无法防止他人伪装成服务器,但如果服务器是按IP地址连接的,也许对这项要求不是很注重,所以自签名证书就够了
openssl req -new -x509 -days 365 -nodes -text -out server.crt  -keyout server.key -subj "/CN=xx.xx.xx"
CN=后面是 证书主题如域名或IP地址,此命令生成证书文件server.crt 和私钥文件 server.key ,请将它们部署在数据库服务器上,并设好ssl_cert_file、ssl_key_file参数。

B:建立本地根CA,再由根CA签发服务器证书
1、建立本地根CA
openssl req -new -nodes -text -out root.csr  -keyout root.key -subj "/CN=XX.XX.XX"
openssl x509 -req -in root.csr -text -days 3650  -extfile openssl.cfg -extensions v3_ca  -signkey root.key -out root.crt
-- 生成两个有用的文件 root.key (根CA的私钥,请离线保存), root.crt(根CA证书)
2、由根CA颁发服务器证书:
openssl req -new -nodes -text -out server.csr   -keyout server.key -subj "/CN=XX.XX.XX"
openssl x509 -req -in server.csr -text -days 365  -CA root.crt -CAkey root.key -CAcreateserial -out server.crt
-- 生成两个有用的文件 server.key(服务器私钥),server.crt(服务器证书)
请将server.key和server.crt部署在服务器,本地根证书root.crt部署在客户端,PostgreSQL客户端不依赖操作系统的证书,需要自行制定根证书的存放地方,所以即使是自行发行的根证书,也认为是合法的。在windows下根证书默认存放目录是$appdata/postgresql目录下。

C:公共CA签署的证书
由知名CA签署的证书,大部分要收使用费,一般用在有域名的服务器上。申请后一般会得三个文件:服务器私钥server.key、服务器证书server.crt、颁布者CA自己的证书。请将server.key和server.crt部署在服务器。客户端的公共root.crt可从 libcurl网站获取最新的pem文件,此文件含有目前世界已知所有CA的证书,将此文件改名为root.crt,并部署在客户端的$appdata/postgresql目录下,若在sslmode=verify-ca模式登陆失败,可能是颁布者CA的证书不含在root.crt里,可将颁布者CA的证书连接到root.crt(文本格式可编辑),也可连接到部署在服务器的服务器证书server.crt,建议后者。

三、数据库连接SSL选项sslmode,安全等级由低到高:
disable: 只尝试非SSL连接
allow:首先尝试非SSL连接,若失败再尝试SSL连接
prefer (default):首先尝试SSL连接,若失败再尝试非SSL连接
require:只尝试SSL连接,若有根证书存在,等同于verify-ca
verify-ca:只尝试SSL连接,并用根证书验证服务器证书是不是根CA签发的
verify-full:只尝试SSL连接,并用根证书验证服务器证书是不是根CA签发的,且主题必须匹配连接域名或IP地址

如 psql -Upostgres "host=xxx.xxx.xxx.xxx dbname=xxx sslmode=verify-full"
大部分客户端接口如ODBC\LIBPQ都可以设置sslmode参数

四、服务器pg_hba.conf登录控制文件
SSL部署成功后,就可设定公网IP只允许SSL登录了
...
hostssl   all all 0.0.0.0/0 md5
hostnossl all all 0.0.0.0/0 reject
....

总结:postgresql的SSL部署相对其他软件是比较容易的,SSL层嵌在TCP层和应用层之间,对应用层来说是透明的,以前怎么操作现在就怎么操作,开销小但所有传输都已加密。
如果数据库服务器只有IP地址或者不需要被公共访问,建议AB两种证书就好,B的安全性会高点,因为有客户端的root.crt在验证服务器证书,SSL安全等级可达到verify-full.
 

trainee
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
建立安全SSL连接PostgreSQL数据库服务器
zhu4674548的专栏
05-06 1万+
建立安全SSL连接PostgreSQL数据库服务器当前物联网的挑战之一就是提供最高的安全级别。这就是为什么需要开启SSL连接到 PostgreSQL。 当你想要安全的存储数据到PostgreSQL数据中时,第一件事就是通过加密的连接保护身份认证凭证和存储数据被拦截。
postgresql数据库配置ssl
nmxiaocui的博客
10-21 2261
pg配置ssl
PostgreSQL 用户及授权管理 06:启用 SSL 及验证
cc20100608的专栏
06-26 1630
最后,如果配置得当,服务器可以通过 SSL 处理网络连接,从而加密所有网络流量和数据。如果在外企工作的话,那么他们对安全要求是非常严格的,在他们那里:安全第一,业务第二。在国内的企业可能要求的就没那么高了。这一节里面介绍的内容在国内企业用的虽然不多,但是这节的内容非常重要,推荐大家掌握。虽然国内企业不那么重视安全,但我们却不能不重视。
PostgreSQL 使用 ---- 配置 SSL/TLS/TLCP 加密传输
最新发布
你好!我是一名互联网搬砖的菜鸟,我的博客主要记录我在工作和学习过程中积累的项目经验和技术总结。 我希望通过这些文章,能够帮助更多的开发者解决实际问题,提高开发效率。 欢迎大家订阅我的博客,期待与你们的互动和交流!
08-12 998
介绍 PostgreSQL 数据库 SSL/TLS、TLCP 加密通讯的使用
postgresql-11启用ssl安全连接方式
baidu_38981831的博客
03-20 7482
原因 为了提高postgresql数据库连接访问安全性,降低数据传输是被窃取偷听.所以对postgresql数据库启用ssl安全传输功能. 操作环境: Liunx(Centos7.6) postgresql-11.5 1.postgresql安装(略) 注意: 编译配置时应该加上 --with-openssl参数,让postgresql支持ssl认证方式,即 ./configure ... ...
PostgreSQL学习之SSL证书生成及配置
weixin_38700215的博客
06-26 1172
1、上面的脚本需要一个参数,指定postgresql数据库data目录,脚本进入data目录生成证书并修改postgresql.conf中ssl相关参数配置;
postgresql配置ssl
深海微澜
11-08 6733
官网 参考 openssl创建证书 PostgreSQL支持使用SSL连接加密客户端/服务器通信,以提高安全性。这要求在客户端和服务器系统上都安装OpenSSL,并且在构建时启用PostgreSQL中的ssl支持(使用源码安装时的--with-openssl参数)。 服务端侧 首先为了使ssl工作起来,服务端首先需要配置三个参数: ssl = on ssl_cert_file = ...
postgresqlssl
深海微澜
05-29 2530
1、PostgreSqlSSL ? PostgreSQL支持使用SSL连接加密客户端/服务器通信,以提高链路安全性。这要求在客户端和服务器系统上都安装OpenSSL,并且在构建时启用PostgreSQL中的ssl支持(使用源码安装时的--with-openssl参数)。 2、什么是OpenSSL? OpenSSL是一个工具包,用于Transport Layer Security(TLS)和Secure Sockets Layer(SSL)协议。它也是一个通用的密码学库。 Open...
postgresql分布式安装部署实操手册.rar
08-20
**PostgreSQL 分布式安装部署实操指南** 在IT领域,数据库管理系统的高效运行是支撑企业业务的关键。PostgreSQL作为一款强大的开源关系型数据库系统,因其稳定性和丰富的功能特性,被广泛应用于各种规模的企业中。...
presto部署并连接postgresql
12-26
- **权限和安全**:确保PostgreSQL用户有执行查询的权限,并考虑使用SSL连接以增强安全性。 - **性能优化**:根据你的数据规模和查询需求,可能需要调整Presto的连接器配置,例如并发查询设置、缓冲大小等。 - **...
org.postgresql.util.PSQLException: SSL error: Received fatal alert: unexpected_message
qq_41475316的博客
08-27 6600
postgresql数据库验证证书报错. 其实早就找到答案了, 但是由于不细心, 墨迹了一天 真是不识庐山真面目,只缘身在此山中。废话不多说,上过程 代码: import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.util.Properties; ...
postgresql12.3-glibc-2.28-aarch64.tar.gz.gz
03-24
7. 配置和安全管理:设置防火墙规则,创建用户和数据库,调整性能参数,启用SSL加密等。 这个压缩包对于那些在ARM架构上运行PostgreSQL的用户非常有价值,因为它提供了在特定版本的glibc和硬件架构下的优化支持。...
连接pgsql数据库 sslmode sslrootcert sslkey sslcert 参数的作用
罪域之骨终成王
08-18 1557
sslmode参数用于指定数据库连接时使用的 SSL 加密模式。SSL(Secure Sockets Layer)是一种加密协议,用于保护数据在客户端和服务器之间的传输过程,以增加数据传输的安全性。sslmode参数可以设置不同的值,以控制数据库连接时 SSL 的使用方式。以下是一些常见的sslmodeallow使用适当的sslmode值可以根据安全需求配置数据库连接。在不同的环境中,可能需要根据情况选择适合的 SSL 加密级别,以保护数据库传输中的数据安全。
PostgreSQL配置SSL安全连接
总想试试,万一成了呢??
06-11 3932
环境说明 PostgreSQL 9.4 docker容器 配置步骤 服务器端证书配置 服务器端需生成三个文件: root.crt(根证书)、server.crt(服务器证书)、server.key(服务器私钥) 生成服务器私钥 $ cd /var/lib/postgresql/data $ openssl genrsa -des3 -out server.key 2048 Generating RSA private key, 2048 bit long modulus ................
Centos7上的PostgreSQL开启SSL配置
sunny05296的博客
12-07 3841
Centos7上的PostgreSQL开启SSL配置 Centos7 PostgreSQL 开启SSL配置 PostgreSQL支持使用SSL连接加密Client和Server之间的通信,以提高安全性。要求在Client和Server两端上都安装OpenSSL、并配置启用PostgreSQL中的SSL的支持。 环境信息:Centos 7.8 + PostgreSQL 12.9 1. 安装OpenSSL Centos7默认已安装了OpenSSL、无需单独安装,如果没有安装则使用 yum install
等保: Postgresql配置ssl链接
weixin_43557605的博客
08-17 3550
等保: postgresql配置ssl链接完整方案和避坑指南
PostgreSQL配置SSL连接
qingcyb的博客
06-17 704
添加配置hostssl all all 0.0.0.0/0 md5。服务器端需生成三个文件: root.crt(根证书)、server.crt(服务器证书)、server.key(服务器私钥)由于没有公证机构提供,只能使用自签名证书,因此可以将服务器证书作为根证书。server.crt (root,755) (客户端证书)root.crt (root,777)(根证书)此处可以一路Enter,不用输入。重启postgresql
PostgreSQL安装和开启SSL加密连接【配置单/双向认证】
schwein_van的博客
04-28 8980
服务端按需求配置postgres.conf、pg_hba.conf两个配置文件,并放入相关证书文件,客户端对应配置即可打开SSL单/双向认证连接;
Windows上PostgreSQL安装配置教程
杨航的专栏
03-13 5156
这篇文章主要为大家详细介绍了Windows上PostgreSQL安装配置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 PostgreSQL的扩展PostGIS是最著名的开源GIS数据库。 安装PostgreSQL是第一步。 1.下载PostgreSQL的二进制安装文件。 PostgreSQL官网–>Download–>Windows 64位,如图所示: (1)...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

trainee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值