openGauss/MogDB与PostgreSQL对比测试SSL之自签名私有证书测试

原作者：彭冲

SSL传输加密简介

SSL认证通过使用SSL证书确保客户端检查服务端证书或者服务器检查客户端证书，SSL认证除了加密数据，也可以识别目标端的真伪，防止网络中间人的伪装攻击。

单向认证与双向认证

单向认证

单向认证一般是指客户端只验证服务器证书的有效性，而服务端不验证客户端证书的有效性。服务器加载服务端证书信息并发送给客户端，客户端使用根证书来验证服务器端证书的有效性。

双向认证

双向认证是指客户端验证服务器证书的有效性，同时服务器端也要验证客户端证书的有效性，只有两端都认证成功，连接才能建立。

客户端验证服务器证书有如下两种模式：

1. 客户端连接参数SSLMODE设置为verify-ca仅校验数据库证书真伪
2. 客户端连接参数SSLMODE设置为verify-full校验数据库证书真伪及
   通用名CN匹配数据库连接的hostname

服务端验证客户端证书有如下三种模式：

1. 数据库认证文件pg_hba.conf配置认证选项clientcert=verify-ca仅验证客户端证书真伪，认证方法可选。
2. 数据库认证文件pg_hba.conf配置认证选项clientcert=verify-full验证客户端证书真伪及CN匹配数据库连接用户名或映射匹配，认证方法可选。
3. 数据库认证文件pg_hba.conf配置认证方法cert，免密验证客户端证书真伪及CN匹配数据库连接用户名或映射匹配。

cert认证实际是基于clientcert=verify-full认证选项的trust方法认证。

SSL编译支持

PostgreSQL编译需打开如下选项，同时需要安装openssl

--with-openssl
--with-includes=/usr/include/openssl


MogDB源码编译时不需要打开上面两个选项，否则编译会报错。

客户端psql或者gsql需要检查libpq是否有ssl动态库的调用

$ ldd /opt/pgsql/lib/libpq.so |grep libssl
libssl.so.10 => /usr/lib64/libssl.so.10 (0x00007f7f29cc4000)

$ ldd /opt/og/lib/libpq.so |grep libssl
libssl.so.1.1 => /opt/og/lib/libssl.so.1.1 (0x00007f9d39dd2000)


自签名私有证书测试

测试环境下可以使用自签名私有证书，只用于测试传输加密，不验证身份，也可使用自签名CA证书来进行加密及身份验证。实际生产环境需要使用权威的CA认证中心签发的数字证书。

本文先测试最简单的自签名私有证书。

生成私钥

$ openssl genrsa -out server.key 2048


生成证书请求文件

$ openssl req -new \
-config openssl.cnf \
-key server.key \
-subj "/CN=foo" \
-out server.csr


注意MogDB需要使用-config指定openssl.cnf文件，centos7下默认路径为/etc/pki/tls/openssl.cnf，PostgreSQL不需要使用-config选项。

证书自签名

$ openssl x509 -req -in server.csr -days 365 \
-extfile openssl.cnf \
-extensions v3_ca \
-signkey server.key \
-out server.crt


PostgreSQL不需要使用-config选项。

传输证书及密钥文件至服务器名

$ chmod 0600 server.crt server.key

$ cp server.crt server.key $PGDATA


PGDATA为实际MogDB或PostgreSQL数据目录。

数据库配置

pg_hba.conf文件配置hostssl条目，认证方法可选。

hostssl all all 0.0.0.0/0 md5


postgreql.conf文件配置如下参数

ssl=on
ssl_cert_file= 'server.crt'
ssl_key_file= 'server.key'


重启数据库服务，然后进行测试。

先测试MogDB，可以看到建立了SSL连接

$ gsql -h 192.168.137.5 -p6432 -Upostgres postgres
Password for user postgres:
gsql ((GaussDB Kernel V500R001C20 build ) compiled at 2021-03-09 18:30:51 commit 0 last mr )
SSL connection (cipher: DHE-RSA-AES128-GCM-SHA256, bits: 128)
Type "help" for help.

postgres=>


再测试PostgreSQL

$ psql -h192.168.137.11
Password for user postgres:
psql (12.6)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.

postgres=#


总结

1.PostgreSQL需要编译支持openssl而MogDB已经内置支持。
2.MogDB不会识别操作系统层的openssl默认配置文件，需要拷贝指定参数，否则会报错找不到配置文件。