我正在尝试连接到我的 PostgreSQL 服务器,但 psql 提示我没有有效的客户端证书。以下是我创建证书的方式:
自签名服务器证书:
openssl req -new -text -nodes -keyout server.key -out server.csr -subj '/C=US/ST=California/L=Fremont/O=Example/OU=CoreDev/CN=192.168.0.100' # CN is the server's IP address
openssl req -x509 -text -in server.csr -key server.key -out server.crt
cp server.crt root.crt
rm server.csr
chmod og-rwx server.key
客户端证书:
openssl req -new -nodes -keyout client.key -out client.csr -subj '/C=US/ST=California/L=Fremont/O=Example/OU=CoreDev/CN=postgres' # postgres is the database user name
openssl x509 -req -CAcreateserial -in client.csr -CA root.crt -CAkey server.key -out client.crt
rm client.csr
将必要的文件(client.crt、client.key、root.crt)复制到客户端计算机并更改权限(即 chmod og-rwx client.key)后,我执行以下操作:
psql 'host=192.168.0.100 port=5432 dbname=postgres user=postgres sslmode=verify-full sslcert=client.crt sslkey=client.key sslrootcert=root.crt'
然后我得到:
psql: FATAL: connection requires a valid client certificate
我执行的客户端证书签名过程有误吗?
我试过:
openssl verify -CAfile root.crt -purpose sslclient client.crt
我得到:
client.crt: OK
使用 Wireshark,这是我获取的客户端 (192.168.0.103) 和服务器 (192.168.0.100) 之间通信的捕获:
为什么会这样?
服务器似乎没有向客户端发送 CertificateRequest 消息。如下所示:
但这很奇怪,因为在 pg_hba.conf 中,我有:
hostssl all postgres 192.168.0.103/32 cert
最佳答案
在这种情况下,我倾向于拔出 Wireshark 并监听 SSL 协商以确保客户端证书确实由客户端提供。
我建议也使用 openssl 来验证客户端->root 签名链接。
openssl verify -CAfile root.crt -purpose sslclient client.crt
编辑:即使选择了 cert
身份验证,也有必要指定 clientcert=1
。是的,这很奇怪。
关于postgresql - psql:致命:连接需要有效的客户端证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18497299/