据我所知,Cloud SQL 始终支持通过 SSL/TLS 进行连接。如果我强制执行,则它将成为必需的。但我能够达到的最高保护级别是verify-ca从客户端和服务器的角度来看的。即:
- 服务器无法确定(
auth-options)客户端证书中的通用名称与我尝试连接的用户匹配(可以使用任何通用名称) - 客户端无法确定服务器证书中的通用名称与我连接的主机名匹配(可以使用任何主机名)
根据文档我可以连接但sslmode=verify-full我不知道它们指的是什么实例名称,或者文档中的信息已过时。(1)如何连接verify-full?
文档还说:
verify-full不需要SSL 模式;verify-ca因为 CA 是特定于实例的,所以这就足够了。
在文档pg我可以看到:
verify-ca和之间的区别verify-full取决于根 CA 的策略。如果使用公共 CA,则verify-ca允许连接到其他人可能已在该 CA 注册的服务器。在这种情况下,verify-full应始终使用。如果使用本地 CA,甚至是自签名证书,则使用verify-ca通常可以提供足够的保护。
(2) 这是什么意思?如果 CA 是本地的,则只有授权人员才能创建证书和私钥,并使用 CA 的根证书对证书进行签名?尽管人们可能可以获得服务器的证书(如果服务器是公共的),但无法获得私钥?因此,未经授权的人不能拥有有效的证书?因此,如果证书有效,则它是由授权人员创建的,CN 是什么并不重要?为什么?似乎我已经接近了,但仍然缺少一些东西。
(3)如果 CA 是本地的,verify-ca== verify-full(没有窃听,没有 MITM)?
关于我具体做了什么,可以找到更多细节这里。
答案1
我如何连接
verify-full?
首先需要确定服务器证书的CN:
$ psql -h xx.yyy.xx.yyy -U postgres sslmode=verify-full
psql: error: connection to server at "xx.yyy.xx.yyy", port 5432 failed: server certificate for "31-0628fb91-0e3b-4c89-adca-ad557023a699.europe-central2.sql.goog" (and 1 other name) does not match host name "xx.yyy.xx.yyy"
然后你就可以连接:
$ psql -U postgres 'sslmode=verify-full hostaddr=xx.yyy.xx.yyy host=xx-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.europe-central2.sql.goog'
Password for user postgres:
psql (15.4, server 11.19)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)
Type "help" for help.
postgres=>
除了使用这个技巧,我不知道还有其他方法可以找出它(CN)。因此,它似乎不应该使用,verify-full或者没有任何意义。文档表明,verify-full至少不会比 好很多verify-ca。
这是什么意思?
通过本地 CA,只有授权人员才能获得证书,因此未经授权的人员无法伪造目标服务器。
如果 CA 是本地的,
verify-ca == verify-full(没有窃听,没有 MITM)?
verify-ca != verify-full,但据说在安全性方面没有太大区别。特别是不应该有中间人攻击。
可以找到配置 SSL/TLS 的示例这里。