主页 / server / 问题 / 1142715
Accepted
x-yuri
Asked: 2023-08-30 19:22:19 +0800 CST

如何配置 SSL/TLS 以连接到 Cloud SQL 实例?

  • 772

据我所知,Cloud SQL 始终可以通过 SSL/TLS 连接。如果我强制执行它,它就成为必需的。但我能够达到的最大保护级别是verify-ca从客户端和服务器的角度来看的。那是:

  • 服务器不会确保 ( auth-options)客户端证书中的通用名称与我尝试连接的用户匹配(可以使用任何通用名称)
  • 客户端不会确保服务器证书中的公用名称与我要连接的主机名匹配(可以使用任何主机名)

根据我可以连接的文档sslmode=verify-full,但要么我不知道它们的实例名称是什么意思,要么文档中的信息已过时。(1) 如何连接verify-full

文档还说:

verify-full不需要SSL 模式;verify-ca就足够了,因为 CA 是特定于实例的。

文档pg我可以看到:

verify-ca和之间的差异verify-full取决于根 CA 的策略。如果使用公共 CA,verify-ca则允许连接到其他人可能已向该 CA 注册的服务器。在这种情况下,verify-full应始终使用。如果使用本地 CA,甚至是自签名证书,verify-ca通常可以提供足够的保护。

(2)这是什么意思?如果CA是本地的,那么只有授权的人才能创建证书和私钥,并用CA的根证书签署证书?虽然人们可能可以获得服务器的证书(如果服务器是公共的),但是却无法获得私钥?那么,未经授权的人就不能拥有有效的证书吗?因此,如果证书有效,则它是由授权人员创建的,CN 是什么并不重要?为什么?看起来我已经很接近了,但仍然缺少一些东西。

(3) 如果CA是本地的,verify-ca== verify-full(无窃听,无MITM)?

关于我到底做了什么的更多细节可以在这里找到。

ssl

1 个回答

  1. Best Answer

    我如何连接verify-full

    首先需要弄清楚服务器证书的CN:

    $ psql -h xx.yyy.xx.yyy -U postgres sslmode=verify-full
psql: error: connection to server at "xx.yyy.xx.yyy", port 5432 failed: server certificate for "31-0628fb91-0e3b-4c89-adca-ad557023a699.europe-central2.sql.goog" (and 1 other name) does not match host name "xx.yyy.xx.yyy"

    然后就可以连接了:

    $ psql -U postgres 'sslmode=verify-full hostaddr=xx.yyy.xx.yyy host=xx-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.europe-central2.sql.goog'
Password for user postgres: 
psql (15.4, server 11.19)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)
Type "help" for help.

postgres=>

    除了使用这个技巧之外,我不知道还有其他方法可以解决这个问题(CN)。因此,您似乎不应该使用它verify-full,或者它没有任何意义。文档表明verify-full至少没有明显优于verify-ca.

    这是什么意思?

    对于本地 CA,只有经过授权的人才能获得证书,因此没有人可以冒充服务器。

    如果 CA 是本地的verify-ca == verify-full(没有窃听,没有 MITM)?

    verify-ca != verify-full,但据说在安全性方面没有太大区别。特别是不应出现中间人攻击 (MITM)。

    配置 SSL/TLS 的示例可以在此处找到。

    • 1

相关问题