Postgresql

PostgreSQL 強制 sslmode=verify-full

  • July 12, 2016

我已經創建了我的 CA、伺服器和客戶端證書和密鑰。我已經嘗試使用sslmode帶有psql. 我已編輯pg_hba.conf文件以強制使用 SSL hostssl。現在我想設置我的伺服器以強制驗證為sslmode=verify-full. 我已經閱讀了兩次我的文件,但不明白如何繼續。他們說它是由環境變數控制的,但不能讓它工作。我必須如何設置此變數以及如何使其持久化。有誰知道如何進行?

**更新:**我在 Ubuntu Server 14.04 上執行 PostgreSQL 9.3

也許您想將客戶端限制為提供給定證書的客戶端,如使用客戶端證書中所述:

要要求客戶端提供受信任的證書,請將您信任的證書頒發機構 (CA) 的證書放在數據目錄下的文件 root.crt 中,將 postgresql.conf 中的參數 ssl_ca_file 設置為 root.crt,並設置 clientcert 參數在 pg_hba.conf 中適當的 hostssl 行上設置為 1

另一方面,sslmode=verify-full是客戶端功能。它通過確保客戶端連接到預期的伺服器而使客戶端受益。它對伺服器沒有好處,因為它是正在檢查的伺服器。

將伺服器配置為“拒絕不被檢查”似乎沒有多大意義,就好像伺服器會說“我不信任自己”。

引用自:https://dba.stackexchange.com/questions/124236