我们有一个连接到 PostgreSQL 8.0、9.0 或 9.5(不同客户端的不同版本)的应用程序。最近我们决定添加 SSL 连接以提高安全性。在 9.0 和 9.5 上一切似乎都很好,但在 8.0 上就不行了。
这是我测试连接的方法(我将比较 8.0 和 9.0 的设置,因为它们非常相似)。我正在本地机器上测试连接,它是在本地完成的,只是为了测试所以不要告诉我为本地主机关闭 ssl,这不是我要找的答案。
我已经准备好所有需要的证书。服务器端:
root.crt
server.crt
server.key
我已将这些文件放在 9.0 和 8.0 PostgreSQL 安装的\data 文件夹中。
我有客户证书:
postgresql.crt
postgresql.key
它们在同一台机器上的\appdata\Roaming\postgresql 文件夹中。
我在 8.0 和 9.0 中都编辑了 postgresql.conf 并设置了这个选项:
ssl = on
(我也试过 ssl = true)
在 pg_hba.conf 我只有一个连接选项:
TYPE DATABASE USER CIDR-ADDRESS METHOD
9.0:
hostssl all all ::1/128 cert
8.0
hostssl all all 127.0.0.1/32 md5 clientcert=1
在 8.0 中,我使用“md5 clientcert=1”,因为没有“cert”选项(我也尝试了“trust”和“md5”),我也尝试了不同的地址 -::1/128,甚至“all” ”。结果总是一样的——如果 hostssl 选项是唯一可用的,我就无法连接到 8.0 服务器。我收到此错误:
SSL error: tlsv1 alet decrypt error FATAL: no pg_hba.conf entry for host "127.0.0.1", user "SU", database "template1", SSL off
我连接到 9.0(和 9.5)没问题。我使用 PgAdmin III 尝试连接,因为如果我使用它进行连接,我也将能够使用该应用程序连接到服务器。
有谁知道为什么我无法通过 SSL 连接到 PostgresSQL 8.0?
最佳答案
使用 PostgreSQL 8.0 的人都没有足够关注安全性来关注 SSL 连接,对吧?
例如,由于数据库受制于CVE-2013-1899 ,任何可以通过网络访问服务器的人都可以覆盖数据库中的任意文件。
也就是说,我假设问题是 8.0 服务器使用旧版本的 OpenSSL,例如一个没有修复 CVE-2009-3555 ,以及包含修复程序的更高版本的 OpenSSL 拒绝握手。
您可以考虑在 8.0 服务器上升级 OpenSSL。
关于postgresql - PostgreSQL 8.0 中的 SSL 连接错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44647963/