通过SSL连接到Google Cloud Postgres

时间:2020-07-28 09:48:45

标签: postgresql go ssl pgx

我已将postgres数据库迁移到Google Cloud SQL。

未启用SSL的情况下,我可以正常连接。

但是我正在努力使SSL连接正常工作。

我正在使用pgx池驱动程序。

我已经下载了服务器,客户端和私钥pem文件。

我收到的错误消息是

无法写入启动消息(x509:未知授权机构签名的证书)

    serverCert, err := ioutil.ReadFile("server-ca.pem")
    if err != nil {
        log.Fatal(err)
    }

    clientCert, err := ioutil.ReadFile("client-cert.pem")
    if err != nil {
        log.Fatal(err)
    }

    caCertPool := x509.NewCertPool()
    ok := caCertPool.AppendCertsFromPEM(serverCert)
    ok = caCertPool.AppendCertsFromPEM(clientCert)
    fmt.Println(ok)

    keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
    if err != nil {
        log.Fatal(err)
    }

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{keypair},
        ServerName:   s.Host,
        ClientCAs:    caCertPool,
        ClientAuth:   tls.RequestClientCert,
        GetClientCertificate: func(*tls.CertificateRequestInfo) (*tls.Certificate, error) {
            return &keypair, nil
        },
    }

    connectionString := fmt.Sprintf("host=%s port=%d user=%s password=%s dbname=%s connect_timeout=%d sslmode=require",
        s.Host, s.Port, s.User, s.Password, s.Name, s.ConnectTimeout)

    connConfig, err := pgxpool.ParseConfig(connectionString)
    if connConfig != nil {
        connConfig.ConnConfig.TLSConfig = tlsConfig
    }

    var pool *pgxpool.Pool

    pool, err = pgxpool.ConnectConfig(context.Background(), connConfig)

1 个答案:

答案 0 :(得分:0)

您的tls.Config存在很多问题,建议您阅读the docs来了解每个字段的作用。

建立CA池:

CertPool应该包含用于签署服务器证书的CA证书,即server-ca.pem。它不需要客户端证书。

指定CA池:

ClientCAs是服务器用来验证客户端证书的CA池,仅在服务器端使用。您需要在RootCAs中指定您的CA池。

这是造成问题的原因,您的客户端正在尝试验证服务器证书,但不知道其证书颁发机构。

其他字段:

ClientAuth是用于强制实施特定客户端证书行为的服务器端字段,在客户端设置时无效。

只要设置了GetClientCertificate,就不需要

Certificates,就可以摆脱它。

您还应该仔细检查您的客户证书。您正在加载密钥对server-client-certs.pem / client-key.pem。如果这些确实是客户证书和密钥,那么您应该没事。

假设您可以连接到数据库主机(在防火墙中列入白名单),则您的证书都是正确的(服务器的CA证书,客户端证书和客户端密钥),此处列出的更正将使您可以连接。

所有这些之后,您的代码将变为:

    caCertPool := x509.NewCertPool()
    ok := caCertPool.AppendCertsFromPEM(serverCert)
    fmt.Println(ok)

    keypair, err := tls.LoadX509KeyPair("server-client-certs.pem", "client-key.pem")
    if err != nil {
        log.Fatal(err)
    }

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{keypair},
        ServerName:   s.Host,
        RootCAs:      caCertPool,
    }

最后说明:server-ca.pem不是服务器证书,它是用于对服务器证书进行签名的CA证书。客户端不会提前知道服务器证书,它将在TLS握手期间收到它。

相关问题
最新问题