開啟SSL鏈路加密后,如果未設置客戶端訪問控制,客戶端仍能通過參數PGSSLMODE=disable
實現非SSL方式連接,如果您需要強制客戶端使用SSL方式連接,可參考本文進行配置。
前提條件
參考使用云端證書快速配置SSL加密或配置自定義證書,給集群地址或自定義地址開啟SSL。
參考配置客戶端CA證書,給集群地址或自定義地址設置客戶端CA證書。
注意事項
僅集群地址或自定義地址支持強制SSL方式連接,主地址不支持。
配置認證方法時,集群地址或自定義地址會有連接閃斷,請在業務低峰期間操作。
操作步驟
修改認證方法后,集群的運行狀態會變成修改SSL中,請耐心等待運行狀態變更為運行中后再進行后續操作。
在配置客戶端CA證書后,您可以在PolarDB PostgreSQL版集群地址中配置認證方法(ACL)控制客戶端的訪問,此時客戶端必須攜帶客戶端證書和私鑰并通過客戶端對應認證方式的驗證才能連接數據庫。
登錄PolarDB管理控制臺。
在頁面左上角,選擇集群所在地域。
找到目標集群,單擊集群ID。
在左側菜單欄中單擊配置與管理 > 安全管理。
在SSL配置頁面,找到您想要設置強制SSL方式連接的集群地址或自定義地址,然后單擊對應的設置認證方法按鈕。
在彈出的對話框中選擇不同的客戶端連接控制模式。配置如下認證方法,可以強制客戶端在使用集群地址或自定義地址時,通過SSL方式連接PolarDB PostgreSQL版集群:
prefer:不強制SSL方式連接,不強制要求客戶端證書,若客戶端提供證書,則檢查客戶端認證真偽。
verify-ca: 加密數據鏈路,同時檢查客戶端認證真偽。
verify-full: 加密數據鏈路,同時檢查客戶端認證真偽,檢查證書CN與數據庫用戶名匹配。
cert: 使用證書代替密碼登錄,加密數據鏈路,同時檢查客戶端證書真偽,檢查證書CN與數據庫用戶名匹配。