Ssl
在 Postgresql 中使用 Let’s Encrypt 證書
我正在嘗試設置與執行 postgresql 的伺服器的遠端數據庫連接。我已經使用 LE 證書在遠端伺服器上執行 nginx。我的問題是,postgresql 證書是否需要像 let’s encrypt 那樣由 CA 簽名,或者自簽名證書是否就足夠了。我試圖了解將自簽名證書用於我的數據庫連接時的安全風險。
如果您控制連接的兩端,則自簽名證書非常好。您可以向客戶端提供 CA 證書以進行驗證。
存在公共 CA 證書,因此尚未與您的伺服器進行可信通信的客戶端仍然會“好的,這看起來像是由我信任的人簽署的合法證書”。
重要的是至少使用並向客戶端
sslmode=verify-ca
提供 CA 證書,root.crt
以便它可以檢查伺服器並確保它正在使用它期望的伺服器。verify-full
如果您使用只有一個主機擁有的自簽名證書,則不需要模式,它可以使用由受信任的 CA 簽名的合法但被盜的證書來防止中間人攻擊。請參閱手冊。