连接pgsql数据库 sslmode sslrootcert sslkey sslcert 参数的作用

原创 已于 2023-08-18 09:29:15 修改 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #网络 #pgsql

于 2023-08-18 09:28:24 首次发布

在这里插入图片描述

sslmode 参数的作用

sslmode 参数用于指定数据库连接时使用的 SSL 加密模式。SSL(Secure Sockets Layer)是一种加密协议,用于保护数据在客户端和服务器之间的传输过程,以增加数据传输的安全性。sslmode 参数可以设置不同的值,以控制数据库连接时 SSL 的使用方式。

以下是一些常见的 sslmode 值及其作用:

  1. disable:
    • 不使用 SSL 连接。
    • 数据在传输过程中不会加密,可能存在安全风险。
    • 适用于本地开发环境或信任网络环境。
  2. allow:
    • 尝试使用 SSL 连接,但如果服务器不支持 SSL,则仍然进行非加密连接。
    • 如果服务器支持 SSL,数据会在传输过程中加密。
    • 可在需要时启用 SSL,但如果服务器不支持,仍可以连接。
  3. prefer:
    • 尝试使用 SSL 连接,但如果服务器不支持 SSL,则仍然进行非加密连接。
    • 如果服务器支持 SSL,数据会在传输过程中加密。
    • allow 类似,但更倾向于使用 SSL。
  4. require:
    • 要求使用 SSL 连接。
    • 如果服务器不支持 SSL,则连接失败。
    • 数据会在传输过程中加密,确保数据安全。
  5. verify-ca:
    • 要求使用 SSL 连接,并验证服务器的 SSL 证书。
    • 如果服务器的 SSL 证书无效,连接会失败。
    • 数据会在传输过程中加密,并验证服务器身份。
  6. verify-full:
    • 要求使用 SSL 连接,并验证服务器的 SSL 证书以及主机名。
    • 如果服务器的 SSL 证书无效或主机名不匹配,连接会失败。
    • 数据会在传输过程中加密,并且要求严格验证服务器身份。

使用适当的 sslmode 值可以根据安全需求配置数据库连接。在不同的环境中,可能需要根据情况选择适合的 SSL 加密级别,以保护数据库传输中的数据安全。

sslrootcert 参数的作用

sslrootcert 参数用于指定用于验证服务器 SSL 证书的根证书文件。SSL(Secure Sockets Layer)证书是用于加密和认证数据传输的关键部分,用于确保连接的安全性和合法性。sslrootcert 参数允许您提供用于验证服务器证书的根证书,以确保您与正确的服务器建立安全连接。

作为连接参数的一部分,sslrootcert 的作用如下:

  1. 服务器认证: SSL 证书用于服务器认证,确保您连接的服务器是您预期的合法服务器,而不是中间人攻击者。根证书文件用于验证服务器的证书是否由受信任的颁发机构(CA)签发。
  2. 数据加密: SSL 证书用于加密在客户端和服务器之间传输的数据,以保护敏感信息不被恶意拦截或窃取。根证书是建立安全通道的一部分。
  3. 连接安全性: 提供根证书文件可以确保连接的安全性,防止不受信任的证书对数据库连接的潜在威胁。

在连接字符串中,您可以使用 sslrootcert 参数来指定根证书文件的路径。示例如下:

sslrootcert=/path/to/root_certificate.crt

通过提供正确的根证书文件路径,您可以建立与 PostgreSQL 数据库的安全连接,并确保连接的完整性和保密性。这对于保护敏感数据和确保通信的安全性非常重要。

sslkey 参数的作用

sslkey 是用于指定SSL连接所使用的私钥文件的选项。私钥文件通常是一个PEM格式的文件,它包含了用于加密和解密SSL连接的私钥信息。使用sslkey选项指定私钥文件后,pgsql客户端在与数据库服务器建立SSL连接时,会使用该私钥进行身份验证和加密通信。

具体来说,私钥用于生成数字签名,以验证连接的双方身份,并用于加密和解密数据传输。私钥是非常敏感的信息,应该妥善保管,只有授权的人员才能访问。

sslcert 参数的作用

在使用SSL加密连接pgsql数据库时,可以使用SSL证书来进行身份验证和加密。

其中,sslcert是用于指定SSL连接所使用的证书文件的选项。证书文件通常是一个PEM格式的文件,它包含了用于加密和解密SSL连接的公钥信息。使用sslcert选项指定证书文件后,pgsql客户端在与数据库服务器建立SSL连接时,会使用该证书进行身份验证和加密通信。

具体来说,证书用于验证连接的双方身份,并用于加密和解密数据传输。证书包含了公钥和相关的证书链信息,用于确保连接的可信度和安全性。证书由认证机构(CA)签发,可以用于验证服务器的身份,防止中间人攻击和数据篡改。同时,证书也可以用于客户端身份验证,确保只有合法的客户端可以连接到数据库服务器。

注意,私钥是与证书配对使用的,用于加密和解密数据传输,而sslkey选项用于指定私钥文件。所以,在使用sslcert选项时,通常也需要同时指定sslkey选项,以确保连接的完整性和安全性。证书和私钥文件通常是成对生成和使用的,私钥应该妥善保管,只有授权的人员才能访问。

postgresql之ssl
深海微澜
05-29 2791
1、PostgreSql之SSL ? PostgreSQL支持使用SSL连接加密客户端/服务器通信,以提高链路安全性。这要求在客户端和服务器系统上都安装OpenSSL,并且在构建时启用PostgreSQL中的ssl支持(使用源码安装时的--with-openssl参数)。 2、什么是OpenSSL? OpenSSL是一个工具包,用于Transport Layer Security(TLS)和Secure Sockets Layer(SSL)协议。它也是一个通用的密码学库。 Open...
Pgsql 数据库操作
王小工小工历程
09-30 1753
pgsql,即PostgreSQL,是一种功能强大的开源对象关系数据库系统。它使用并扩展了SQL语言,使其能够存储复杂的数据结构和执行强大的查询。
PostgreSQL的SSL部署
trainee的专栏
06-03 2242
随着云服务器的兴起,越来越多的数据库服务器被安装在远程。用SSL连接代替明文连接,是数据库的基本安全功能。很庆幸PostgreSQL很早就支持openSSL,各发行版本都带有openSSL连接库(libeay32.dll和ssleay32.dll,可能还有某版本VC运行库)。 PostgreSQL的SSL连接分两块: 1、服务端的SSL验证:用SSL连接代替明文连接以防止网络包被窃听和防止他人伪装成服务器 2、客户端的SSL验证:用客户端SSL证书登录代替密码登录。 本文只讲第一块:服务端的SSL验证。以下
PostgreSQL 用户及授权管理 06:启用 SSL 及验证
cc20100608的专栏
06-26 2579
最后,如果配置得当,服务器可以通过 SSL 处理网络连接,从而加密所有网络流量和数据。如果在外企工作的话,那么他们对安全要求是非常严格的,在他们那里:安全第一,业务第二。在国内的企业可能要求的就没那么高了。这一节里面介绍的内容在国内企业用的虽然不多,但是这节的内容非常重要,推荐大家掌握。虽然国内企业不那么重视安全,但我们却不能不重视。
mysql sslmode_你的MySQL服务器开启SSL了吗?
weixin_39750195的博客
01-19 5421
最近,准备升级一组MySQL到5.7版本,在安装完MySQL5.7后,在其data目录下发现多了很多.pem类型的文件,然后通过查阅相关资料,才知这些文件是MySQL5.7使用SSL加密连接的。本篇主要介绍MySQL5.7 SSL连接加密功能、如何使用?以及使用SSL的一些注意点。我们知道,MySQL5.7之前版本,安全性做的并不够好,比如安装时生成的root空密码账号、存在任何用户都能连接上的t...
postgresql-11启用ssl安全连接方式
baidu_38981831的博客
03-20 8151
原因 为了提高postgresql数据库连接访问安全性,降低数据传输是被窃取偷听.所以对postgresql数据库启用ssl安全传输功能. 操作环境: Liunx(Centos7.6) postgresql-11.5 1.postgresql安装(略) 注意: 编译配置时应该加上 --with-openssl参数,让postgresql支持ssl认证方式,即 ./configure ... ...
C#使用EF连接PGSql数据库的完整步骤
08-26
C#使用EF连接PGSql数据库的完整步骤 本文主要介绍了使用C#通过Entity Framework(EF)连接PGSql数据库的完整步骤。 Entity Framework是一个ORM(Object-Relational Mapping)工具,允许开发人员使用.NET Framework...
pgsql数据库jdbc驱动jar包
01-17
pgsql数据库jdbc驱动jar包
mysql、pgsql自动生成数据库设计文档
02-01
使用这些工具时,开发者首先需要配置数据库连接信息,然后指定输出格式和路径。工具运行后,会解析数据库中的表、视图、索引等信息,并按照预设模板生成相应的文档。这样,即使在大型项目中,也能轻松管理和跟踪...
--ssl-mode=DISABLED
喝醉酒的小白
06-17 2177
如果你需要在生产环境中使用 MySQL,强烈建议启用 SSL/TLS 加密以确保数据的安全传输。可以通过配置正确的 SSL/TLS 证书和密钥,并将 SSL/TLS 相关的参数设置为合适的值来实现安全连接。请注意,禁用 SSL/TLS 加密将使连接过程中的数据传输变为明文,并且存在安全风险。建议仅在测试环境或仅在确保网络环境安全的情况下使用禁用 SSL/TLS 加密的选项。如果你希望禁用 SSL/TLS 加密并使用不安全的连接,可以在连接 MySQL 时使用。
MySQL JDBC连接串中sslMode含义、与useSSL、requireSSL的关系
Oxye
05-31 3406
从Java连接MySQL的连接属性中获取sslMode的含义。
pgsql使用OpenSSL添加ssl加密
zhangjikuan的专栏
07-12 2236
openssl.md 服务端 查看当前目录 openssl version -d 生成签名的key openssl req -new -text -out server.req -subj '/C=CN/ST=Zhejiang/L=Hangzhou/O=dbpaas/CN=dbpaas-ip-port' -passout pass:'xxx' -passourt 意思是对输出...
PostgreSQL数据库配置SSL操作说明书
最新发布
m0_54138989的博客
05-29 1350
【代码】PostgreSQL数据库配置SSL操作说明书。
openSSL中SSL_MODE_AUTO_RETRY使用引发的问题
qq_32648921的博客
08-17 1414
1. SSL_MODE_AUTO_RETRY的作用 关于这个flag的作用,openSSL官方的解释如下所示: SSL_MODE_AUTO_RETRY Never bother the application with retries if the transport is blocking. If a renegotiation take place during normal operation, a **SSL_read(3)**or SSL_write(3) woul
postgresql配置ssl
深海微澜
11-08 6992
官网 参考 openssl创建证书 PostgreSQL支持使用SSL连接加密客户端/服务器通信,以提高安全性。这要求在客户端和服务器系统上都安装OpenSSL,并且在构建时启用PostgreSQL中的ssl支持(使用源码安装时的--with-openssl参数)。 服务端侧 首先为了使ssl工作起来,服务端首先需要配置三个参数: ssl = on ssl_cert_file = ...
pgsql 的主备 流复制(ssl认证)
KillerXie的博客
12-07 830
一、PostgreSQL通过WAL日志构建高可靠性原理: PostgrepSQL在数据目录的子目录pg_xlog子目录中维护了一个WAL日志文件,可以把WAL日志备份到另外一台备份服务器,通过重做WAL日志的方式在备服务器上恢复数据(类似Oracle的redo日志)。 WAL日志复制到另外一台备份服务器可以有两种方式: 1、 WAL日志文件复制 此种方式是写完一个WAL日志后,才把WAL日志文件拷贝到备份数据库中。这样通常备份会落后主库一个WAL日志文件,当主数据库发生故障时,主数据库的WAL文件并没有填充
PostgreSQL学习之SSL证书生成及配置
weixin_38700215的博客
06-26 1686
1、上面的脚本需要一个参数,指定postgresql数据库data目录,脚本进入data目录生成证书并修改postgresql.conf中ssl相关参数配置;
SSL双向认证java实现
Joine 梦想着超越
06-22 1897
本文通过模拟场景,介绍SSL双向认证的java实现 默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍。如果有这个需要,那么通过GOOGLE,可以搜索到很多这样的文章。 模拟场景: Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。 实现技术: JS
PostgreSQL配置SSL连接
qingcyb的博客
06-17 1450
添加配置hostssl all all 0.0.0.0/0 md5。服务器端需生成三个文件: root.crt(根证书)、server.crt(服务器证书)、server.key(服务器私钥)由于没有公证机构提供,只能使用自签名证书,因此可以将服务器证书作为根证书。server.crt (root,755) (客户端证书)root.crt (root,777)(根证书)此处可以一路Enter,不用输入。重启postgresql。
libpq将通过检查该证书是否链接到存储在客户端上的根证书来验证服务
01-22
### 使用 libpq 验证服务器证书 为了确保 PostgreSQL 客户端能够验证服务器的身份,可以利用 `libpq` 库中的 SSL 功能来检查服务器提供的证书链是否能追溯到存储在客户端上的根证书。 #### 设置环境变量或连接字符串选项 可以通过设置特定的环境变量或直接在连接字符串中指定这些参数: - **sslmode**: 控制 SSL 连接的行为。对于严格认证模式应设为 `verify-full`。 - **sslrootcert**: 指向包含受信任 CA 的 PEM 文件路径;这通常是之前提到过的 `root.crt` 文件[^1]。 - **sslcrl**: 可选地提供 CRL 列表用于撤销状态检查。 - **sslkey** 和 **sslcert**: 如果需要的话,还可以指明客户端自己的私钥和公钥文件位置以便建立双向 TLS 握手过程。 下面是一个 Python 脚本的例子,展示了如何使用上述配置项构建一个安全的数据库会话: ```python import psycopg2 as pgsql conn_params = { "dbname": "your_database", "user": "your_username", "password": "your_password", "host": "server_address", "port": "5432", # 默认端口 "sslmode": "verify-full", "sslrootcert": "/path/to/root.crt" } try: conn = pgsql.connect(**conn_params) except Exception as e: print(f"Connection failed: {e}") else: with conn.cursor() as cur: cur.execute('SELECT version();') db_version = cur.fetchone() print(f'Connected successfully! Database Version: {db_version}') finally: if 'conn' in locals(): conn.close() ``` 此脚本尝试与远程主机建立带有完整验证机制的安全连接,并打印出所连数据库版本信息作为成功标志。注意这里假设所有必要的证书都已经按照说明放置到了正确的位置并拥有适当权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羽露风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值