为Postgres连接向Tomcat提供证书

Question

我正在为Tomcat8.5配置TLS，Postgres使用自签名证书进行通信。

向Tomcat提供证书、PK (以PKCS12格式捆绑)和CA证书(根证书)的最佳方法是什么？

Tomcat被设置为一个服务，因此首选是提供启动VM参数。我尝试在配置Tomcat -> Java选项中提供这些

-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.ssl.trustStore=D:\test\data\pg_cert\truststore
-Djavax.net.ssl.trustStorePassword=changeit

但是Tomcat似乎没有加载这些。如果我使用独立的Java类来测试它，那么它就能够连接。

我在某个地方读到，在tomcat启动脚本中提供证书可能是一种选择，但是，为了在生产中保持最小的更改，这将是最后一种选择。

Answer 1

JDBC连接必须包含url参数：

• sslmode=验证-ca
• sslcert=${user.home}/.postgresql/postgresql.crt 如果使用相互身份验证，Postgres必须提供他的公钥，并且必须在Postgres信任库中保存客户端的公钥。 更多的信息可以在“配置客户端”页面上找到。 我想警告您: pki是一个复杂的术语，SSL会话可能会在知道证书被OCSP禁用之前几周跨越服务器。我更喜欢直接将密码传递给服务器启动/停止脚本，而不将密码存储到文件系统。