Postgres 15 上的 TLS 设置 – 常见做法

01 /简介/

TLS 是大多数应用程序中最常用的安全协议之一,但也鲜为人知。在这篇博客中,我将简要解释TLS的概念,以及如何将其配置为使用兼容的OpenSSL库编译的Postgres 15版本。

02 /PostgreSQL 服务器端设置/

这些是postgresql.conf中与TLS相关的TLS设置。

请注意,这些参数以前缀 SSL 开头,这是一个可与 TLS(较新术语)互换使用的术语。两者都指同一件事。

#ssl = off
#ssl_ca_file = ''
#ssl_cert_file = 'server.crt'
#ssl_crl_file = ''
#ssl_crl_dir = ''
#ssl_key_file = 'server.key'
#ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers
#ssl_prefer_server_ciphers = on
#ssl_ecdh_curve = 'prime256v1'
#ssl_min_protocol_version = 'TLSv1.2'
#ssl_max_protocol_version = ''
#ssl_dh_params_file = ''
#ssl_passphrase_command = ''
#ssl_passphrase_command_supports_reload = off

大多数时候,您只需要填写SSL,ssl_ca_file,ssl_cert_file,ssl_key_file,可能还有ssl_passphrase_command。例如:

ssl = on
ssl_ca_file = '/home/user/cert/cacert.pem'
ssl_cert_file = '/home/user/cert/server.pem'
ssl_key_file = '/home/user/cert/server.key'
ssl_passphrase_command = 'echo passphrase'

这些基本 TLS 参数告诉 Postgres 您希望在服务器上启用 TLS,并提供证书颁发机构 (CA) 证书文件、实体证书文件和私钥文件的路径。这3个文件通常被称为X509证书,主要用于保证客户端和服务器之间的信任。

CA 证书文件 (ssl_ca_file) 是信任根,您可以使用 openSSL 为您的组织生成一个证书,并使用它来创建和签署其他实体证书以供应用程序使用。

实体证书(ssl_cert_file)和私钥(ssl_key_file)形成一个pair,在某种意义上,证书本身包含公钥,而私钥文件包含私钥。这些密钥用于 TLS 握手期间的异步身份验证。实体证书通常使用在 ssl_ca_file 中配置的相同 CA 证书文件签名,这样它就可以被信任。也可以使用 openssl 生成和签名私钥和实体证书文件。

ssl_passphrase_command用于获取密码短语以解密ssl_key_file(如果在生成时已加密)。

请参阅此处 的这篇博客文章,了解如何使用 openssl 创建和签署这些证书文件,以及对其余大部分默认 TLS 相关参数的简短说明。

03 /PostgreSQL 服务器端pg_hba设置/

除了上述主要设置外, 您还需要配置 pg_hba.conf 以限制哪些连接需要 TLS,哪些不需要。对于大多数人来说,这些设置通常更复杂。启用 TLS 后,可能涉及 2 个身份验证;一个涉及TLS握手(以验证客户端和服务器之间的信任),另一个涉及PG中以检查连接用户是否被授权。

请考虑以下示例:

hostssl   mydatabase myuser       192.168.1.0/24     trust
hostssl   mydatabase myuser2      192.168.1.0/24     trust clientcert=verify-ca
hostssl   mydatabase myuser3      192.168.1.0/24     password clientcert=verify-ca
hostssl   mydatabase myuser4      192.168.1.0/24     cert clientcert=verify-ca
hostnossl mydatabase myuser5      127.0.0.1/32       trust

hostssl mydatabase myuser 192.168.1.0/24 trust

意味着只要myuser使用TLS在192.168.1.0网络中连接,myuser就会立即获得访问mydatabase的权限。

hostssl mydatabase myuser2 192.168.1.0/24 trust clientcert=verify-ca

表示如果 myuser2 使用 TLS 在 192.168.1.0 网络中连接,则 myuser2 需要提供自己的 X509 证书,服务器将使用 ssl_ca_file 中配置的 CA 证书验证客户端证书。如果证书可以信任,则 myuser2 将被授予对 mydatabase 的访问权限。

hostssl mydatabase myuser3 192.168.1.0/24 password clientcert=verify-ca

表示如果 myuser3 使用 TLS 在 192.168.1.0 网络中连接,则 myuser3 需要提供自己的 X509 证书,服务器将使用 ssl_ca_file 中配置的 CA 证书验证客户端证书。如果证书可以信任,则 myuser3 将提示输入密码。如果密码匹配,则 myuser3 将被授予访问 mydatabase 的权限。

hostssl mydatabase myuser4 192.168.1.0/24 cert clientcert=verify-ca

表示如果 myuser4 使用 TLS 在 192.168.1.0 网络中连接,则 myuser4 需要提供自己的 X509 证书,服务器将使用 ssl_ca_file 中配置的 CA 证书验证客户端证书。如果证书可以信任,则 PG 将读取客户端提供的证书中的公用名 (CN) 字段,并检查它是否与连接用户的用户名匹配,如果匹配,则 user4 将有权访问 mydatabase。

hostnossl mydatabase myuser5 127.0.0.1/32 trust

意味着如果 myuser5 在 127.0.0.1 localhost 中不使用 TLS 连接,myuser5 将只被授予对 mydatabase 的访问权限。

04 /PostgreSQL 客户端 TLS 选项/

大多数情况下,当 psql 客户端连接到启用了 TLS 的 Postgres 服务器时,是 psql 客户端将验证 Postgres 服务器发送的实体证书(在 postgresql.conf 中ssl_cert_file配置)。换句话说,客户端验证服务器。当然,psql 客户端还需要具有 CA 证书的副本(或由公共根 CA 签名的子 CA 证书),客户端可以使用该副本在握手期间验证服务器的证书。

这类似于用户在浏览器上连接到 https 网站。例如,Web 服务器 google.ca 握手期间将其服务器证书发送到您的浏览器,浏览器将使用浏览器附带的许多内置 CA 证书来验证此证书。如果证书可以信任,则允许您连接。如果没有,它会给你一个警告页面,说“你的连接不是私有的”,你可以选择继续或不继续。

使用 psql 客户端,您可以指定要发送到服务器的证书和用于验证服务器证书的 CA 证书。

psql -U myuser2 -h 192.168.1.123 -d "sslmode=verify-ca dbname=mydatabase sslrootcert=/home/user/cert/cacert.pem sslcert=/home/user/cert/client.pem sslkey=/home/user/cert/client.key"

️这意味着 psql 客户端将使用 sslrootcert 中指定的 CA 证书验证服务器的证书。由于服务器还要求客户端提供证书(因为 pg_hba.conf 中的 clientcert=verify-ca),客户端会将 sslcert 中指定的证书发送到服务器进行相互身份验证。


关于IvorySQL

IvorySQL致力于创建包容和热情的社区,坚持开放,自由,共享的精神,保持专注、专业性。

官方网址:

https://www.ivorysql.org/zh-cn/

社区仓库:

https://github.com/IvorySQL/IvorySQL

IvorySQL社区欢迎并赞赏所有类型的贡献,期待您的加入!

还有,别忘了在GitHub给我们一个 ⭐奥~

你可能感兴趣的:(Postgres 15 上的 TLS 设置 – 常见做法)