在当今数据安全至关重要的时代，数据库加密传输已成为保障数据安全的关键措施。PostgreSQL 作为一款强大的开源数据库，内置了 SSL（Secure Sockets Layer）支持，能够确保客户端与服务器之间的通信安全。

本文将详细介绍 PostgreSQL 如何启用 SSL、如何生成证书、如何配置 SSL 连接，并分享一些实际应用场景，以帮助大家更好地理解和使用 PostgreSQL 的 SSL 功能。

1. 启用 PostgreSQL SSL 支持

1.1 在编译时启用 SSL

要使用 SSL，必须在编译 PostgreSQL 时添加 --with-openssl 选项。

./configure --with-openssl
make && make install

从 PostgreSQL 14 开始，可以使用 --with-ssl=LIBRARY 指定 SSL 库，目前仍然只支持 OpenSSL，所以 --with-openssl 仍然是主要的配置方式。

如果 PostgreSQL 在编译时未启用 SSL，尝试在运行时开启 SSL 将会报错：

postgres=# alter system set ssl = on;
ERROR:  SSL is not supported by this build

因此，确保编译时已启用 SSL 是第一步。

2. 生成 SSL 证书与密钥

在 PostgreSQL 中启用 SSL 之前，需要先生成 SSL 证书和私钥。可以使用 OpenSSL 生成这些文件。

2.1 生成自签名根证书和服务器证书

openssl req -new -x509 -days 365 -nodes -text -out postgresql.crt \
  -keyout postgresql.key -subj "/CN=pg.example.com"
chmod og-rwx postgresql.key

生成根证书：

openssl req -new -nodes -text -out root.csr \
  -keyout root.key -subj "/CN=root.example.com"
chmod og-rwx root.key
openssl x509 -req -in root.csr -text -days 3650 \
  -signkey root.key -out root.crt

生成服务器证书：

openssl req -new -nodes -text -out postgresql.csr \
  -keyout postgresql.key -subj "/CN=pg.example.com"
chmod og-rwx postgresql.key
openssl x509 -req -in postgresql.csr -text -days 365 \
  -CA root.crt -CAkey root.key -CAcreateserial \
  -out postgresql.crt

3. 配置 PostgreSQL 以使用 SSL

生成证书后，需要在 PostgreSQL 配置文件 postgresql.conf 中指定证书和密钥文件。

vim /var/lib/pgsql/data/postgresql.conf

添加以下内容：

ssl = on
ssl_cert_file = 'postgresql.crt'
ssl_key_file = 'postgresql.key'

然后重启 PostgreSQL 使配置生效：

systemctl restart postgresql

4. 使用 SSL 连接数据库

4.1 在客户端使用 SSL 连接 PostgreSQL

在 psql 客户端中，可以通过 sslmode=require 参数强制使用 SSL 连接数据库：

psql "postgresql://127.0.0.1:5432/postgres?sslmode=require"

如果连接成功，可以通过 \conninfo 查看连接信息：

postgres=# \conninfo
You are connected to database "postgres" as user "postgres" on host "127.1" at port "5432".
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)

4.2 在 psql 终端内手动建立 SSL 连接

postgres=# \c "host=127.0.0.1 sslmode=require"

5. 调整 TLS 版本

5.1 查看当前 SSL 版本

在 PostgreSQL 中，可以通过以下命令查看当前的 TLS 版本设置：

postgres=# show ssl_max_protocol_version;

5.2 限制最大 TLS 版本

如果需要将最大 TLS 版本限制为 TLS 1.2，可以使用以下命令：

postgres=# alter system set ssl_max_protocol_version = 'TLSv1.2';

然后重新连接数据库：

postgres=# \c "host=127.1 sslmode=require"

你会发现新建的 SSL 连接已使用 TLSv1.2。

6. 监控 PostgreSQL SSL 连接状态

PostgreSQL 提供了 pg_stat_ssl 视图，允许管理员监控当前的 SSL 连接状态。

postgres=# SELECT * FROM pg_stat_ssl;

示例输出：

  pid  | ssl | version |        cipher        | bits | client_dn | client_serial | issuer_dn
-------+-----+---------+----------------------+------+-----------+---------------+-----------
 67602 | t   | TLSv1.3 | TLS_AES_256_GCM_SHA384 |  256 |           |               |

7. 实践案例：在 Java 应用中控制 TLS 版本

在 Java 应用中，可以通过 jdk.tls.client.protocols 属性控制客户端 TLS 版本。

7.1 使用 TLS 1.2 连接 PostgreSQL

java -Djdk.tls.client.protocols=TLSv1.2 -cp .:postgresql-42.7.3.jar Main

7.2 使用 TLS 1.3 连接 PostgreSQL

java -Djdk.tls.client.protocols=TLSv1.3 -cp .:postgresql-42.7.3.jar Main

示例输出：

Java Version: 1.8.0_422  (Red Hat, Inc.)
Driver: PostgreSQL JDBC Driver 42.7.3
Database: PostgreSQL 16.4
SSL: t, Version: TLSv1.3, Cipher: TLS_AES_256_GCM_SHA384

8. 总结

本文介绍了 PostgreSQL 数据库中 SSL 的配置方法，包括启用 SSL、生成证书、配置数据库、使用 SSL 连接、调整 TLS 版本以及监控 SSL 连接等内容。

掌握这些技术，可以显著提升数据库的安全性，防止数据在传输过程中被截获。希望这篇文章能帮助你更好地理解 PostgreSQL SSL，并应用到实际生产环境中！

数据库、云计算、网络安全认证资料免费领取！ 找我获取最新学习资源！

#PostgreSQL##数据库##技术分享##学习##认证##资料#