SSL连接PolarDB PostgreSQL版（兼容Oracle）数据库_云原生数据库 PolarDB(PolarDB)-阿里云帮助中心

本文介绍配置了SSL链路加密后，如何通过pgAdmin、psql命令行终端以及JDBC连接数据库。

前提条件

已开启SSL链路加密，如果未开启，请参见使用云端证书快速配置SSL加密或配置自定义证书。
已获取如下文件：
- （可选）客户端证书（client.crt）、客户端证书私钥（client.key）：如果已经开启了客户端CA证书，获取方法请参见配置客户端CA证书。
- 数据库CA证书：获取方法请参见下载CA证书或获取自定义证书。

操作步骤

pgAdmin客户端SSL连接

pgAdmin客户端是PostgreSQL官方推荐的数据库连接工具，在PostgreSQL官方网站下载并安装PostgreSQL时，将会自动安装pgAdmin 4客户端。下文以pgAdmin 4 V6.2.0为例，介绍如何连接PolarDB PostgreSQL版（兼容Oracle）集群。

说明

如果您不想安装PostgreSQL，也可以单独下载pgAdmin客户端，仅用于连接远程数据库。

启动pgAdmin 4客户端。
说明
高版本客户端首次登录需要设置Master Password用于保护保存的密码和其他凭据。
右键单击Servers，选择Register> Server...。
在General页签设置连接名称。

选择Connection页签，输入要连接的集群信息。

参数	说明
Host name/address	PolarDB PostgreSQL版（兼容Oracle）集群的连接地址及对应的端口。若通过内网连接，需输入集群的内网地址和内网端口。若使用外网连接，需输入集群的外网地址和外网端口。
Port
Username	PolarDB PostgreSQL版（兼容Oracle）集群的账号和密码。
Password	PolarDB PostgreSQL版（兼容Oracle）集群的账号和密码。

选择Parameters页签，添加SSL认证方式相关参数并配置证书。

参数	说明
SSL mode	PolarDB PostgreSQL版（兼容Oracle）数据库开启SSL链路加密后，表示允许客户端通过SSL连接数据库，在客户端连接数据库时，请根据以下场景选择SSL mode参数的取值。数据库未配置客户端访问控制：通过SSL连接时，SSL mode选择Require、Verify-CA或Verify-Full。不通过SSL连接时，SSL mode选择Disable。数据库配置了客户端访问控制，客户端必须使用SSL连接，SSL mode选择 Require、Verify-CA或Verify-Full。 Require、Verify-CA 和 Verify-Full 含义如下： Require：只对数据链路加密，并不验证数据库的真实性。 Verify-CA：加密数据链路，同时验证数据库的真实性。 Verify-Full：加密数据链路，验证数据库的真实性，同时比对证书内的CN或DNS与连接时配置的数据库连接地址是否一致。
Client certificate	如果完成了配置客户端CA证书，则需要配置此参数，表示客户端证书（client.crt）。
Client certificate key	如果完成了配置客户端CA证书，则需要配置此参数，表示客户端证书私钥（client.key）。
Root certificate	当SSL mode 取值为Verify-CA或Verify-Full时，需要配置此参数，表示数据库CA证书路径。说明本示例中，客户端证书（client.crt）、客户端证书私钥（client.key）和数据库CA证书（ca1.crt）的文件路径请根据实际情况配置。本示例以配置自定义证书为例，除自定义证书外，您也可以配置云端证书，例如将`ca1.crt`替换为`ApsaraDB-CA-Chain.pem`。

单击Save。若连接信息无误，会出现如下界面，则表示连接成功。

psql命令行终端SSL连接

说明

本步骤依赖本地PostgreSQL客户端自带的psql命令行工具，请确保您已安装PostgreSQL客户端，具体请参见PostgreSQL官方文档。

在 /var/lib/pgsql 目录下创建 .postgresql 文件夹。
```
mkdir /var/lib/pgsql/.postgresql
```
将如下文件拷贝到.postgresql 文件夹中。
- （可选）客户端证书（client.crt）、客户端证书私钥（client.key）。
- 数据库 CA 证书。
```
cp client.crt client.key ca1.crt /var/lib/pgsql/.postgresql/
```

说明

本示例中，客户端证书（client.crt）、客户端证书私钥（client.key）和数据库CA证书（ca1.crt）的文件路径请根据实际情况配置。

本示例以配置自定义证书为例，除自定义证书外，您也可以配置云端证书，例如将ca1.crt替换为ApsaraDB-CA-Chain.pem。

修改.postgresql文件夹权限。

chown postgres:postgres /var/lib/pgsql/.postgresql/*
chmod 600 /var/lib/pgsql/.postgresql/*

使用如下命令编辑postgres用户的环境变量。
```
vim /var/lib/pgsql/.bash_profile
```

输入i进入编辑模式，补充如下内容。

export PGSSLCERT="/var/lib/pgsql/.postgresql/client.crt"
export PGSSLKEY="/var/lib/pgsql/.postgresql/client.key"
export PGSSLROOTCERT="/var/lib/pgsql/.postgresql/ca1.crt"

使用Esc退出编辑模式，然后输入:wq保存并退出。
重新加载环境变量。
```
source .bash_profile
```
设置连接时客户端对数据库的认证方式。
```
export PGSSLMODE="verify-full"
```
PostgreSQL 数据库开启SSL链路加密后，表示允许客户端通过 SSL 连接数据库，在客户端连接数据库时，请根据以下场景选择 PGSSLMODE 参数的取值。
数据库是否配置客户端访问控制
是否需要通过SSL连接
PGSSLMODE取值
否
是
require、verify-ca 或 verify-full
否
disable
是
必须使用 SSL
require、verify-ca 或 verify-full
说明
require、verify-ca和verify-full的含义如下：
- require：只对数据链路加密，并不验证数据库的真实性。
- verify-ca：加密数据链路，同时验证数据库的真实性。
- verify-full：加密数据链路，验证数据库的真实性，同时比对证书内的CN或DNS与连接时配置的数据库连接地址是否一致。

连接数据库。

psql -h <数据库连接地址> -U <用户名> -p <端口号> -d <数据库名>

JDBC SSL 连接

下载如下文件到本地。
- （可选）客户端证书（client.crt）、客户端证书私钥（client.key）。
- 数据库 CA 证书。

将客户端私钥（client.key）转换为pk8格式。

openssl pkcs8 -topk8 -inform PEM -in client.key -outform der -out client.pk8 -v1 PBE-MD5-DES
# 需要输入密码，连接时需要使用
Enter Encryption Password:
Verifying - Enter Encryption Password:

警告

该命令必须在应用程序所在设备上执行，使用应用程序所在设备上的openssl命令将私钥转换为pk8格式，否则可能提示如下报错：

org.postgresql.util.PSQLException: Could not decrypt SSL key file C:/Users/XXX/XXX/client.pk8
org.postgresql.util.PSQLException: SSL error: Received fatal alert: unexpected_message

以Maven项目为例，在pom.xml中导入PostgreSQL的Maven依赖。

 <dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.2.10</version>
  </dependency>

在业务代码中编写JDBC SSL连接PolarDB PostgreSQL版（兼容Oracle）。

说明

本示例以配置自定义证书为例，除自定义证书外，您也可以配置云端证书，例如将ca1.crt替换为ApsaraDB-CA-Chain.pem。

 // 设置 PolarDB PostgreSQL集群的连接地址     
 String hostname = "pe-bpxxxxx.pg.rds.aliyuncs.com";   
 // 设置 PolarDB PostgreSQL集群的连接端口
 String port = "5432";   
 // 设置待连接的数据库名
 String dbname = "postgres";  

 String jdbcUrl = "jdbc:postgresql://" + hostname + ":" + port + "/" + dbname+"?binaryTransfer=true";

 Properties properties = new Properties();
 // 设置连接数据库的用户名
 properties.setProperty("user", "username"); 
 //设置连接数据库的密码
 properties.setProperty("password", "*****");   
 // 设置证书存放路径 
 String path= "D:\\ssl\\"; 

 // 配置以SSL访问
 properties.setProperty("ssl", "true");
 //设置证书授权机构的公钥名
 properties.setProperty("sslrootcert", path + "/" + "ca1.crt");
 //设置客户端证书私钥名
 properties.setProperty("sslkey", path + "/" + "client.pk8");  
 //设置客户端证书名
 properties.setProperty("sslcert", path + "/" + "client.crt");  
 //填写将私钥key格式转换为pk8格式时设置的密码
 properties.setProperty("sslpassword", "*****"); 

 // 配置SSL模式，可选值为require、verify-ca、verify-full
 properties.setProperty("sslmode", "verify-ca"); 

  try {
      Class.forName("org.postgresql.Driver");
      Connection connection = DriverManager.getConnection(jdbcUrl, properties);
      //本示例中，假设在postgres数据库中存在表example，此处以查询表example数据为例。
      PreparedStatement preparedStatement = connection.prepareStatement("select * from " +
              "example");
      ResultSet resultSet = preparedStatement.executeQuery();
      while (resultSet.next()) {
          ResultSetMetaData rsmd = resultSet.getMetaData();
          int columnCount = rsmd.getColumnCount();
          Map map = new HashMap();
          for (int i = 0; i < columnCount; i++) {
              map.put(rsmd.getColumnName(i + 1).toLowerCase(), resultSet.getObject(i + 1));
          }
          System.out.println(map);
      }
  } catch (Exception exception) {
      exception.printStackTrace();
  }

数据库是否配置客户端访问控制	是否需要通过SSL连接	PGSSLMODE取值
否	是	require、verify-ca 或 verify-full
否	否	disable
是	必须使用 SSL	require、verify-ca 或 verify-full