PostgreSQL 内置支持使用SSL连接来加密客户端/服务器通信,以提高安全性。这要求在客户端和服务器系统上都安装了 OpenSSL,并且在编译时启用了 PostgreSQL 的支持(请参见 第 17 章)。
术语SSL和TLS通常可以互换使用,表示使用TLS协议的安全加密连接。SSL协议是TLS协议的前身,即使SSL协议不再受支持,SSL术语仍然用于表示加密连接。SSL在 PostgreSQL 中与TLS互换使用。
当SSL支持被编译进来后,可以通过在 postgresql.conf 中将 ssl 参数设置为 on 来启动 PostgreSQL 服务器,从而支持使用TLS协议进行加密连接。服务器将在相同的 TCP 端口上监听普通连接和SSL连接,并与任何连接的客户端协商是否使用SSL。默认情况下,这是由客户端选择的;请参见 第 20.1 节,了解如何设置服务器以强制对某些或所有连接使用SSL。
要在SSL模式下启动,必须存在包含服务器证书和私钥的文件。默认情况下,这些文件应命名为 server.crt 和 server.key,位于服务器的数据目录中,但可以使用配置参数 ssl_cert_file 和 ssl_key_file 指定其他名称和位置。
在 Unix 系统上,server.key 的权限必须禁止对任何人或组的访问;通过命令 chmod 0600 server.key 实现。或者,该文件可以由 root 拥有并具有组读取权限(即 0640 权限)。这种设置适用于证书和密钥文件由操作系统管理的安装。运行 PostgreSQL 服务器的用户应成为有权访问这些证书和密钥文件的组的成员。
如果数据目录允许组读取权限,那么为了符合上述安全要求,证书文件可能需要存放在数据目录之外。通常,启用组访问是为了允许非特权用户备份数据库,在这种情况下,备份软件将无法读取证书文件,并可能报错。
如果私钥受密码保护,服务器将提示输入密码,并且在输入之前不会启动。默认情况下,使用密码会禁用在服务器重新启动而不重启服务器的情况下更改服务器 SSL 配置的能力,但请参见 ssl_passphrase_command_supports_reload。此外,在 Windows 上完全无法使用受密码保护的私钥。
server.crt 中的第一个证书必须是服务器的证书,因为它必须与服务器的私钥匹配。还可以将“中间”证书颁发机构的证书附加到该文件中。这样做可以避免在客户端存储中间证书的必要性,前提是根证书和中间证书是用 v3_ca 扩展创建的。(这会将证书的 CA 基本约束设置为 true。)这使得中间证书的过期更容易。
无需将根证书添加到 server.crt。相反,客户端必须拥有服务器证书链的根证书。
PostgreSQL 读取系统范围的 OpenSSL 配置文件。默认情况下,该文件名为 openssl.cnf,位于 openssl version -d 报告的目录中。可以通过将环境变量 OPENSSL_CONF 设置为所需配置文件的名称来覆盖此默认值。
OpenSSL 支持各种密码和认证算法,强度各不相同。虽然可以在 OpenSSL 配置文件中指定密码列表,但您可以通过修改 postgresql.conf 中的 ssl_ciphers 来指定供数据库服务器专用的密码。
可以通过使用 NULL-SHA 或 NULL-MD5 密码来实现无加密开销的认证。然而,中间人可能会读取和传递客户端与服务器之间的通信。此外,与认证开销相比,加密开销很小。由于这些原因,不推荐使用 NULL 密码。
要强制客户端提供受信任的证书,请将您信任的根证书颁发机构(CA)的证书放在数据目录中的一个文件中,在 postgresql.conf 中将 ssl_ca_file 参数设置为新文件名,并在 pg_hba.conf 的适当 hostssl 行中添加认证选项 clientcert=verify-ca 或 clientcert=verify-full。然后在 SSL 连接启动时会向客户端请求证书。(有关如何在客户端设置证书的说明,请参见 第 32.19 节。)
对于具有 clientcert=verify-ca 的 hostssl 条目,服务器将验证客户端证书是否由受信任的证书颁发机构之一签名。如果指定了 clientcert=verify-full,服务器不仅会验证证书链,还会检查用户名或其映射是否与提供的证书的 cn(公用名)匹配。请注意,当使用 cert 认证方法时(参见 第 20.12 节),始终确保证书链的验证。
如果您希望避免在客户端存储中间证书,可以将链接到现有根证书的中间证书颁发机构也包含在 ssl_ca_file 文件中(前提是根证书和中间证书是用 v3_ca 扩展创建的)。如果设置了 ssl_crl_file 或 ssl_crl_dir 参数,还会检查证书吊销列表(CRL)条目。
clientcert 认证选项可用于所有认证方法,但仅限于 pg_hba.conf 中指定为 hostssl 的行。当未指定 clientcert 时,如果提供了客户端证书并且配置了 CA,服务器才会根据其 CA 文件验证客户端证书。
有两种方法可以强制用户在登录时提供证书。
第一种方法利用 pg_hba.conf 中 hostssl 条目的 cert 认证方法,这样证书本身就可以用于认证,同时提供 SSL 连接安全。有关详细信息,请参见 第 20.12 节。(在使用 cert 认证方法时,无需显式指定任何 clientcert 选项。)在这种情况下,证书中提供的 cn(公用名)会与用户名或适用的映射进行比较。
第二种方法将 hostssl 条目的任何认证方法与通过将 clientcert 认证选项设置为 verify-ca 或 verify-full 来验证客户端证书相结合。前一个选项仅强制证书有效,而后者还确保证书中的 cn(公用名)与用户名或适用的映射匹配。
表 18.2 总结了与服务器上的 SSL 设置相关的文件的信息。(显示的文件名是默认名称。本地配置的名称可能不同。)
表 18.2. SSL 服务器文件使用
| 文件 | 目录 | 效果 |
|---|---|---|
ssl_cert_file($PGDATA/server.crt) |
服务器证书 | 发送给客户端以指示服务器的身份 |
ssl_key_file($PGDATA/server.key) |
服务器私钥 | 证明服务器证书由所有者发送;不表示证书所有者值得信赖 |
| ssl_ca_file | 受信任的证书颁发机构 | 检查客户端证书是否由受信任的证书颁发机构签名 |
| ssl_crl_file | 证书颁发机构吊销的证书 | 客户端证书不得在此列表中 |
服务器在启动时以及每次服务器配置重新加载时都会读取这些文件。在 Windows 系统上,每次为新的客户端连接生成新的后端进程时也会重新读取它们。
如果在服务器启动时检测到这些文件中的错误,服务器将拒绝启动。但如果在配置重新加载期间检测到错误,则会忽略这些文件,并继续使用旧的 SSL 配置。在 Windows 系统上,如果在后端启动时检测到这些文件中的错误,则该后端将无法建立 SSL 连接。在所有这些情况下,错误情况都会在服务器日志中报告。
要为服务器创建简单的自签名证书,有效期为 365 天,请使用以下 OpenSSL 命令,将 dbhost.yourdomain.com 替换为服务器的主机名
openssl req -new -x509 -days 365 -nodes -text -out server.crt \
-keyout server.key -subj "/CN=dbhost.yourdomain.com"
然后执行
chmod og-rwx server.key
因为如果文件的权限过于宽松,服务器将拒绝该文件。有关如何创建服务器私钥和证书的更多详细信息,请参阅 OpenSSL 文档。
虽然自签名证书可用于测试,但在生产环境中应使用由证书颁发机构(CA)组成的证书(通常是企业级的根证书CA)。
要创建一个可以由客户端验证身份的服务器证书,首先创建一个证书签名请求(CSR)和一个公钥/私钥文件
openssl req -new -nodes -text -out root.csr \
-keyout root.key -subj "/CN=root.yourdomain.com"
chmod og-rwx root.key
然后,使用密钥对请求进行签名以创建根证书颁发机构(使用 Linux 上的默认 OpenSSL 配置文件位置)
openssl x509 -req -in root.csr -text -days 3650 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -signkey root.key -out root.crt
最后,创建一个由新的根证书颁发机构签名的服务器证书
openssl req -new -nodes -text -out server.csr \
-keyout server.key -subj "/CN=dbhost.yourdomain.com"
chmod og-rwx server.key
openssl x509 -req -in server.csr -text -days 365 \
-CA root.crt -CAkey root.key -CAcreateserial \
-out server.crt
server.crt 和 server.key 应存储在服务器上,而 root.crt 应存储在客户端上,以便客户端可以验证服务器的叶子证书是否由其受信任的根证书签名。root.key 应离线存储,用于创建将来的证书。
也可以创建包含中间证书的信任链
# root openssl req -new -nodes -text -out root.csr \ -keyout root.key -subj "/CN=root.yourdomain.com" chmod og-rwx root.key openssl x509 -req -in root.csr -text -days 3650 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -signkey root.key -out root.crt # intermediate openssl req -new -nodes -text -out intermediate.csr \ -keyout intermediate.key -subj "/CN=intermediate.yourdomain.com" chmod og-rwx intermediate.key openssl x509 -req -in intermediate.csr -text -days 1825 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -CA root.crt -CAkey root.key -CAcreateserial \ -out intermediate.crt # leaf openssl req -new -nodes -text -out server.csr \ -keyout server.key -subj "/CN=dbhost.yourdomain.com" chmod og-rwx server.key openssl x509 -req -in server.csr -text -days 365 \ -CA intermediate.crt -CAkey intermediate.key -CAcreateserial \ -out server.crt
server.crt 和 intermediate.crt 应连接成一个证书文件包并存储在服务器上。server.key 也应存储在服务器上。root.crt 应存储在客户端上,以便客户端可以验证服务器的叶子证书是否是由链接到其受信任根证书的证书链签名的。root.key 和 intermediate.key 应离线存储,用于创建将来的证书。
如果您在文档中发现任何不正确之处、与您对特定功能的体验不符或需要进一步阐明的内容,请使用 此表格 报告文档问题。