优点:

安全的远程连接

无需担心证书过期问题

相比自签名证书,客户端无需额外配置

配置过程:

首先使你的域名指向服务器IP

安装acme.sh

curl  https://get.acme.sh | sh
alias acme.sh=~/.acme.sh/acme.sh

添加使用DNS验证域名所有权所需环境变量

export CF_Key="your_cf_key"
export CF_Email="you_cf_email"

生成域名证书

acme.sh  --issue  -d postgresql.youdomain.com --dns dns_cf

安装证书

acme.sh --install-cert -d postgresql.youdomain.com--key-file /var/lib/pgsql/data/server.key --fullchain-file /var/lib/pgsql/data/server.crt --reloadcmd "chown postgres:postgres /var/lib/pgsql/data/server.key /var/lib/pgsql/data/server.crt"

acme.sh 方面的配置完成,接下来配置postgresql

nano /var/lib/pgsql/data/postgresql.conf

使postgresql监听0.0.0.0

listen_addresses = '*'

取消下面几行的注释

ssl = on
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
ssl_prefer_server_ciphers = on

接着

nano /var/lib/pgsql/data/pg_hba.conf

新增一行

hostssl all all 0.0.0.0/0 md5

重启postgresql使其生效

systemctl restart postgresql

配置完成。这样acme.sh会使用cron自动更新证书并安装到/var/lib/pgsql/data/下,并利用–reloadcmd将文件所有权变更为postgres用户,无需担心证书有效期问题。

另外,postgresql版本需要在10以上,否则无法自动应用新的证书。postgresl 9以下版本需要重启服务器,可以修改证书安装指令

acme.sh --install-cert -d postgresql.youdomain.com--key-file /var/lib/pgsql/data/server.key --fullchain-file /var/lib/pgsql/data/server.crt --reloadcmd "chown postgres:postgres /var/lib/pgsql/data/server.key /var/lib/pgsql/data/server.crt" && systemctl restart postgresql“