postgresql - 与 Google Cloud Postgres 的 SSL 连接

Question

我已将我的 postgres 数据库迁移到 Google Cloud SQL。
如果没有启用 SSL，我可以毫无问题地连接。
但是我正在努力让 SSL 连接正常工作。
我正在使用 pgx 池驱动程序。
我已经下载了服务器、客户端和私钥 pem 文件。
我得到的错误信息是

failed to write startup message (x509: certificate signed by unknown authority)

    serverCert, err := ioutil.ReadFile("server-ca.pem")
    if err != nil {
        log.Fatal(err)
    }

    clientCert, err := ioutil.ReadFile("client-cert.pem")
    if err != nil {
        log.Fatal(err)
    }

    caCertPool := x509.NewCertPool()
    ok := caCertPool.AppendCertsFromPEM(serverCert)
    ok = caCertPool.AppendCertsFromPEM(clientCert)
    fmt.Println(ok)

    keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
    if err != nil {
        log.Fatal(err)
    }

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{keypair},
        ServerName:   s.Host,
        ClientCAs:    caCertPool,
        ClientAuth:   tls.RequestClientCert,
        GetClientCertificate: func(*tls.CertificateRequestInfo) (*tls.Certificate, error) {
            return &keypair, nil
        },
    }

    connectionString := fmt.Sprintf("host=%s port=%d user=%s password=%s dbname=%s connect_timeout=%d sslmode=require",
        s.Host, s.Port, s.User, s.Password, s.Name, s.ConnectTimeout)

    connConfig, err := pgxpool.ParseConfig(connectionString)
    if connConfig != nil {
        connConfig.ConnConfig.TLSConfig = tlsConfig
    }

    var pool *pgxpool.Pool

    pool, err = pgxpool.ConnectConfig(context.Background(), connConfig)

Answer 1

您的 tls.Config 有很多问题。 , 我推荐你阅读 the docs了解每个字段的作用。
构建 CA 池:CertPool应该包含用于签署服务器证书的 CA 证书，这是 server-ca.pem .它不需要客户端证书。
指定 CA 池:ClientCAs是服务器用来验证客户端证书的 CA 池，它只在服务器端使用。您需要在 RootCAs 中指定您的 CA 池.
这是您的问题的原因，您的客户端正在尝试验证服务器证书但不知道其 CA。
其他领域:ClientAuth是用于强制执行特定客户端证书行为的服务器端字段，在客户端设置时无效。GetClientCertificate不需要，只要 Certificates已设置，您可以摆脱它。
您还应该仔细检查您的客户证书。您正在加载 key 对 server-client-certs.pem/client-key.pem .如果这些确实是客户端证书和 key ，那么您应该没问题。
假设您可以连接到数据库主机(在防火墙中列入白名单)，您的证书都是正确的(服务器的 CA 证书、客户端证书和客户端 key )，此处列出的更正将使您能够连接。
毕竟，您的代码变为:

    caCertPool := x509.NewCertPool()
    ok := caCertPool.AppendCertsFromPEM(serverCert)
    fmt.Println(ok)

    keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
    if err != nil {
        log.Fatal(err)
    }

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{keypair},
        ServerName:   s.Host,
        RootCAs:      caCertPool,
    }

最后注:server-ca.pem不是服务器证书，它是用于签署服务器证书的 CA 证书。客户端不会提前知道服务器证书，它会在 TLS 握手期间接收它。