开启SSL链路加密后,如果未设置客户端访问控制,客户端仍能通过参数PGSSLMODE=disable
实现非SSL方式连接,如果您需要强制客户端使用SSL方式连接,可参考本文进行配置。
前提条件
参考使用云端证书快速配置SSL加密或配置自定义证书,给集群地址或自定义地址开启SSL。
参考配置客户端CA证书,给集群地址或自定义地址设置客户端CA证书。
注意事项
仅集群地址或自定义地址支持强制SSL方式连接,主地址不支持。
配置认证方法时,集群地址或自定义地址会有连接闪断,请在业务低峰期间操作。
操作步骤
修改认证方法后,集群的运行状态会变成修改SSL中,请耐心等待运行状态变更为运行中后再进行后续操作。
在配置客户端CA证书后,您可以在PolarDB PostgreSQL版集群地址中配置认证方法(ACL)控制客户端的访问,此时客户端必须携带客户端证书和私钥并通过客户端对应认证方式的验证才能连接数据库。
登录PolarDB管理控制台。
在页面左上角,选择集群所在地域。
找到目标集群,单击集群ID。
在左侧菜单栏中单击配置与管理 > 安全管理。
在SSL配置页面,找到您想要设置强制SSL方式连接的集群地址或自定义地址,然后单击对应的设置认证方法按钮。
在弹出的对话框中选择不同的客户端连接控制模式。配置如下认证方法,可以强制客户端在使用集群地址或自定义地址时,通过SSL方式连接PolarDB PostgreSQL版集群:
prefer:不强制SSL方式连接,不强制要求客户端证书,若客户端提供证书,则检查客户端认证真伪。
verify-ca: 加密数据链路,同时检查客户端认证真伪。
verify-full: 加密数据链路,同时检查客户端认证真伪,检查证书CN与数据库用户名匹配。
cert: 使用证书代替密码登录,加密数据链路,同时检查客户端证书真伪,检查证书CN与数据库用户名匹配。