postgresql - 与 Google Cloud Postgres 的 SSL 连接
问题描述
我已将我的 postgres 数据库迁移到 Google Cloud SQL。
如果没有启用 SSL,我可以毫无问题地连接。
但是我正在努力让 SSL 连接正常工作。
我正在使用 pgx 池驱动程序。
我已经下载了服务器、客户端和私钥 pem 文件。
我得到的错误信息是
无法写入启动消息(x509:证书由未知机构签名)
serverCert, err := ioutil.ReadFile("server-ca.pem")
if err != nil {
log.Fatal(err)
}
clientCert, err := ioutil.ReadFile("client-cert.pem")
if err != nil {
log.Fatal(err)
}
caCertPool := x509.NewCertPool()
ok := caCertPool.AppendCertsFromPEM(serverCert)
ok = caCertPool.AppendCertsFromPEM(clientCert)
fmt.Println(ok)
keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
if err != nil {
log.Fatal(err)
}
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{keypair},
ServerName: s.Host,
ClientCAs: caCertPool,
ClientAuth: tls.RequestClientCert,
GetClientCertificate: func(*tls.CertificateRequestInfo) (*tls.Certificate, error) {
return &keypair, nil
},
}
connectionString := fmt.Sprintf("host=%s port=%d user=%s password=%s dbname=%s connect_timeout=%d sslmode=require",
s.Host, s.Port, s.User, s.Password, s.Name, s.ConnectTimeout)
connConfig, err := pgxpool.ParseConfig(connectionString)
if connConfig != nil {
connConfig.ConnConfig.TLSConfig = tlsConfig
}
var pool *pgxpool.Pool
pool, err = pgxpool.ConnectConfig(context.Background(), connConfig)
解决方案
你有很多问题tls.Config
,我建议你阅读文档以了解每个字段的作用。
构建 CA 池:
应该包含用于签署服务器证书的CertPool
CA 证书,这是server-ca.pem
. 它不需要客户端证书。
指定 CA 池:
ClientCAs
是服务器用来验证客户端证书的 CA 池,它只在服务器端使用。您需要在RootCAs
.
这是您的问题的原因,您的客户端正在尝试验证服务器证书但不知道其 CA。
其他领域:
ClientAuth
是用于强制执行特定客户端证书行为的服务器端字段,在客户端设置时无效。
GetClientCertificate
只要Certificates
设置了就不需要了,你可以摆脱它。
您还应该仔细检查您的客户证书。您正在加载密钥对server-client-certs.pem
/ client-key.pem
。如果这些确实是客户端证书和密钥,那么您应该没问题。
假设您可以连接到数据库主机(在防火墙中列入白名单),您的证书都是正确的(服务器的 CA 证书、客户端证书和客户端密钥),此处列出的更正将使您能够连接。
毕竟,您的代码变为:
caCertPool := x509.NewCertPool()
ok := caCertPool.AppendCertsFromPEM(serverCert)
fmt.Println(ok)
keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
if err != nil {
log.Fatal(err)
}
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{keypair},
ServerName: s.Host,
RootCAs: caCertPool,
}
最后说明:server-ca.pem
不是服务器证书,它是用于签署服务器证书的 CA 证书。客户端不会提前知道服务器证书,它会在 TLS 握手期间接收它。
推荐阅读
- angular - Material Angular 进度条不更新值(带有 observables )
- android-jetpack-compose - 如何在 Jetpack compose 中制作卡片渐变?
- .htaccess - .htaccess 将流量从新域重定向到另一个文件夹
- android - Android:一加 6T 指南针被“卡住”,直到放置在磁性支架上并被移除
- html - 如何在活动的 Bootstrap 4 下拉菜单中旋转箭头图标?
- mysql - Docker / MySQL - 学说迁移 - 访问容器外的数据库
- java - 试图将文本文件输入到二维字符数组中,但是我收到错误“java.lang.NumberFormatException:对于输入字符串”?
- azure-functions - 在 Azure Function (javascript) 中安装依赖包之前如何指定注册表?
- tensorflow - 是否可以微调 tensorflow 1 模型?
- r - 函数名称作为 R 中的循环变量