java - Postgresql 无法接受 SSL 连接 : sslv3 alert certificate unknown

Question

我正在使用配置为 datasource.url = jdbc:postgresql://...../mydb?ssl=true&sslFactory=....nonValidating...的 SpringBoot

在我的 application.yml 中

port: 8443
ssl:
 enabled: true
 key-alias: PGSQLServerHostNameHere
 key-store: keystore.jks
 key-store-password:....
 key-store-type: JKS
 trust-store: #this one is irrelevant, it's just a...
 ### ... trust store for other restTemplate stuff
 trust-store-password: ....
 key-password: ....
 ciphers: "TLSv1.2"
 protocol: TLS

但是，Postgresql 也在 SSL=on 的情况下设置和运行。 ssl_ciphers='TLSv1.2'

但是在 PGSQL 日志中我得到:

Postgresql could not accept SSL connection: sslv3 alert certificate unknown

我在 prod 上的 spring boot 应用程序中遇到错误(我在本地的自签名证书不会发生此错误):

org.postgresql...PSQLException: SSL error: sun.security.validator.ValdiatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

SSL 证书配置

我在 root.crt 中有用于 postgresql 服务器的签名证书(包括带有正确别名的 Java 应用程序服务器的签名证书)。

我在 JKS 文件中有 postgresql 服务器(别名:PGSQLServerHostNameHere)的签名证书作为我的 keystore.jks 的“trustEntry”。

我在我自己的服务器的 keystore.jks 中有 privateKeyEntry。

我在 keystore.jks 中有根 CA。

SpringBoot 应用程序在我的本地机器上使用自签名 JKS 运行良好。

但是 Postgresql 是个问题...拒绝我与 java 应用程序服务器的通信。

postgresql.conf:

ssl = on
ssl_ciphers = 'TLSv1.2'

(everything else is default)

pg_hba.conf

hostssl all all md5

Answer 1

Postgresql could not accept SSL connection: sslv3 alert certificate unknown
....
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

这意味着客户端无法接受来自服务器的证书，可能是因为颁发该证书的 CA 不在信任库中。客户端将此问题作为警报发送给该服务器，以便服务器知道连接失败的原因。

But Postgresql is a problem... rejecting my communications from the java app server.

不，您的 Java 应用程序拒绝与 Postgresql 通信，因为它不信任该证书。您在 Postgresql 的错误消息中看到的正是您的 Java 应用程序发送的内容，这是它不会继续进行 TLS 握手的原因。