Предоставление сертификатов Tomcat для подключения Postgres

Question

Я нахожусь в процессе настройки TLS для Tomcat 8.5, связь Postgres с использованием самоподписанного сертификата.

Что было бы лучшим способом предоставления сертификата, PK (в комплекте в формате PKCS12) для Tomcat и CAсертификат (корневой сертификат)?

Tomcat настроен как служба, поэтому предпочтительнее было бы предоставить параметры запуска ВМ.Я попытался предоставить их в Configure Tomcat -> Java Opts

-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.ssl.trustStore=D:\test\data\pg_cert\truststore
-Djavax.net.ssl.trustStorePassword=changeit

Однако Tomcat, похоже, не загружает их.Если я протестирую это с помощью отдельного Java-класса, то он сможет подключиться.

Я где-то читал, что предоставление сертификата в сценарии запуска tomcat может быть вариантом, однако, чтобы сохранить минимальные изменения в работе, это будетпоследний вариант.

Answer 1

Соединение JDBC должно содержать параметр url:

sslmode = проверить-ча sslcert = $ {user.home} /. PostgreSQL / postgresql.crt

Если вы используете взаимную аутентификацию, Postgres-Server должен предлагать свой открытый ключ и хранить открытый ключ клиента в доверенном хранилище Postgres-Server.

Дополнительная информация доступна на странице "Настройка клиента" .

Я хотел бы предупредить вас: pki - это сложный термин, и сеансы SSL могут занимать несколько недель, прежде чем станет известно, что сертификат деактивирован OCSP. Я предпочитаю передавать пароль непосредственно в сценарий запуска / остановки сервера без сохранения пароля в файловой системе.