x射线Postgresql的TLS步骤

注意:此信息用于Xray 2。X

x光2。Xhas three third-party microservices (RabbitMQ, Postgresql, MongoDB), and all of these services communicate with Xray via unencrypted channels.

通常这很好，因为您可以锁定web服务器或将所有内容留在同一主机上。然而，对于一些有安全意识的用户来说，加密Xray是必须的。

Xray Wiki提供了要使用的设置和字段，但前提是用户具有SSL加密和调优Xray使用的微服务方面的专业知识。本指南详细介绍了如何创建自签名证书并将其安装在这些服务中。系统配置完成后，可以获取ca签名证书。

要使用以下步骤使用自签名证书，请确保将自签名证书添加到x射线主机操作系统信任存储区．这个网络资源可能很有用。

Postgres TLS设置

1.创建自签名SSL证书:

#选择“postgres”作为CN(通用名)

Openssl req -newkey rsa:2048 -nodes -keyout domain。Key -x509 -days 365 -out domain.crt

2.将certs添加到PSQL:

a.转到/var/opt/jfrog/postgres目录，创建一个名为“certs”的文件夹

b。乔恩postgres: postgres并chmod 600文件

c.按照文档提示更新/var/opt/jfrog/ postgresql.conf文件。

SSL = on

ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL”

Ssl_prefer_server_ciphers = on

#/var/lib/postgres/data/certs是PSQL容器内的路径

Ssl_cert_file = '/var/opt/jfrog/postgres/data/certs/domain.crt'

Ssl_key_file = '/var/opt/jfrog/postgres/data/certs/domain.key'

# ssl_ca_file= ' /全/道路/ / postgres /证书/ server_ca.crt '#不需要，注释掉

d.重启PSQL—如果一切正常，重启应该成功。如果不是，请检查所采取的步骤，并以未加密的格式使postgres服务器重新联机。

3.复制相同的证书文件到x射线的数据文件夹。已经有一个“ssl”文件夹，所以使用它:

mkdir /var/opt/jfrog/xray/data/ssl/postgres

4.更新xray_config。使用Xray SSL文件路径:

postgresqlUrl: postgres: / / 92 ab99 aes256 GKSH5xis6mxvZUYzvv_oJVnShS9AVZydQsdU1nhWv6Y0Zkcuyw = = @postgres:美元5432 / xraydb ? sslrootcert = / var / opt / jfrog / x光/数据/ ssl / postgres / domain.crt&sslkey = / var / opt / jfrog / x光/数据/ ssl / postgres / domain.key

5.重新启动x光。Xray应该使用TLS与Postgres连接，没有任何问题。