主页 / dba / 问题 / 230643
Accepted
Mike Gale
Asked: 2019-02-26 01:36:45 +0800 CST

Postgres 仍然通过 SSL 连接 - 尽管证书无效

  • 772

我正在玩与测试 postgres 服务器的 SSL 连接,我发现尽管证书无效,我仍然可以启动 SSL 连接。(有效期已过)

我在 pg_hba.conf 中强制执行 SSL 连接

## pg_hba.conf - SSL TESTING
hostssl         mike            mike            192.168.56.106/32       md5

SSL 证书已过期:

$ openssl x509 -in server.crt -noout -dates
notBefore=Feb 22 18:29:39 2019 GMT
notAfter=Feb 23 18:29:39 2019 GMT

仍然可以通过 SSL 连接:

postgres:/db/postgresql/10/data>psql "sslmode=require host=192.168.56.105 dbname=mike user=mike"
Password: 
psql (10.7)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
mike=>

为什么我还能连接?

我希望出现连接被拒绝的情况,因为证书无效 - 我错过了什么吗?任何帮助表示赞赏:)

postgresql ssl

1 个回答

  1. Best Answer

    文档说:

    默认情况下,PostgreSQL 不会对服务器证书进行任何验证。

    换句话说,SSL 用于加密。

    [...]
    为了允许客户端验证服务器的身份,请在客户端放置一个根证书,并在服务器上放置一个由根证书签名的叶证书。
    […]
    一旦建立了信任链,客户端有两种方法可以验证服务器发送的叶证书。如果参数sslmode设置为verify-ca,libpq 将通过检查证书链直到存储在客户端上的根证书来验证服务器是否可信。如果sslmode设置为verify-full,libpq 还将验证服务器主机名是否与存储在服务器证书中的名称匹配。

    • 1

相关问题