Ssl

在 Postgresql 中使用 Let’s Encrypt 證書

  • December 9, 2016

我正在嘗試設置與執行 postgresql 的伺服器的遠端數據庫連接。我已經使用 LE 證書在遠端伺服器上執行 nginx。我的問題是,postgresql 證書是否需要像 let’s encrypt 那樣由 CA 簽名,或者自簽名證書是否就足夠了。我試圖了解將自簽名證書用於我的數據庫連接時的安全風險。

如果您控制連接的兩端,則自簽名證書非常好。您可以向客戶端提供 CA 證書以進行驗證。

存在公共 CA 證書,因此尚未與您的伺服器進行可信通信的客戶端仍然會“好的,這看起來像是由我信任的人簽署的合法證書”。

重要的是至少使用並向客戶端sslmode=verify-ca提供 CA 證書,root.crt以便它可以檢查伺服器並確保它正在使用它期望的伺服器。verify-full如果您使用只有一個主機擁有的自簽名證書,則不需要模式,它可以使用由受信任的 CA 簽名的合法但被盜的證書來防止中間人攻擊。

請參閱手冊

引用自:https://serverfault.com/questions/819705