在 Postgresql 中使用 Let’s Encrypt 證書

我正在嘗試設置與執行 postgresql 的伺服器的遠端數據庫連接。我已經使用 LE 證書在遠端伺服器上執行 nginx。我的問題是，postgresql 證書是否需要像 let’s encrypt 那樣由 CA 簽名，或者自簽名證書是否就足夠了。我試圖了解將自簽名證書用於我的數據庫連接時的安全風險。

如果您控制連接的兩端，則自簽名證書非常好。您可以向客戶端提供 CA 證書以進行驗證。

存在公共 CA 證書，因此尚未與您的伺服器進行可信通信的客戶端仍然會“好的，這看起來像是由我信任的人簽署的合法證書”。

重要的是至少使用並向客戶端sslmode=verify-ca提供 CA 證書，root.crt以便它可以檢查伺服器並確保它正在使用它期望的伺服器。verify-full如果您使用只有一個主機擁有的自簽名證書，則不需要模式，它可以使用由受信任的 CA 簽名的合法但被盜的證書來防止中間人攻擊。

請參閱手冊。

引用自：https://serverfault.com/questions/819705