PostgreSQL：如何配置数据库的传输层加密（SSL加密连接）

更多内容请见： 《深入掌握PostgreSQL数据库》 - 专栏介绍和目录

文章目录

• 一、为什么需要 SSL 加密？
• 二、SSL 工作原理简述
• 三、准备工作：生成 SSL 证书
  • 方式 1：使用 OpenSSL 生成自签名证书（推荐用于测试/内网）
  • 方式 2：使用 Let's Encrypt 或企业 CA（生产环境推荐）
• 四、服务端配置（postgresql.conf + pg_hba.conf）
  • 步骤 1：启用 SSL（编辑 `postgresql.conf`）
  • 步骤 2：配置客户端认证（编辑 `pg_hba.conf`）
• 五、客户端连接方式
  • 1. psql 命令行连接
  • 2. 应用程序连接（以 Python psycopg2 为例）
  • 3. JDBC 连接（Java）
• 六、SSL 模式（sslmode）详解
• 七、高级配置：双向 SSL（客户端证书认证）
  • 服务端配置（postgresql.conf）
  • pg_hba.conf 配置
  • 客户端准备
• 八、验证 SSL 是否生效
  • 方法 1：查看连接状态
  • 方法 2：抓包验证
  • 方法 3：日志检查
• 九、性能影响与优化
  • 1. 性能开销
  • 2. 优化建议
• 十、常见问题排查
  • 问题 1：`FATAL: no pg_hba.conf entry for host ... SSL off`
  • 问题 2：`certificate verify failed`
  • 问题 3：私钥权限错误
  • 问题 4：证书过期
• 十一、实践建议
• 十二、自动化脚本示例（生成自签名证书）

在 PostgreSQL 中配置传输层加密（SSL/TLS）是保障数据库通信安全的核心措施，可有效防止中间人攻击（MitM）、数据窃听和篡改。本文将系统性地详解 如何从零开始配置 PostgreSQL 的 SSL 加密连接，涵盖证书生成、服务端配置、客户端连接、验证模式、性能影响及最佳实践，适用于 PostgreSQL 10 及以上版本。

一、为什么需要 SSL 加密？

PostgreSQL 默认以明文传输所有数据（包括用户名、密码、SQL 语句、查询结果）。在以下场景中，必须启用 SSL：

• 数据库与应用部署在不同服务器（跨网络）；
• 使用公共云或共享网络环境；
• 满足合规要求（如 GDPR、PCI-DSS、等保 2.0）。

注意：SSL 仅加密传输中的数据（in-transit），不加密存储数据（需配合透明数据加密 TDE 或文件系统加密）。

二、SSL 工作原理简述

PostgreSQL 支持标准 TLS 协议（v1.2+ 推荐）。流程如下：

1. 客户端发起 SSL 连接请求；
2. 服务端返回其 SSL 证书；
3. 客户端验证证书（可选）；
4. 双方协商加密套件，建立加密通道；
5. 后续所有通信均通过该通道加密传输。

Postgre