но блин почему psql pgadmin не спрашивают то

возможно, использует системные сертификаты? а диалог со скриншота так-то из IDE, напиcанной на Java?

возможно, использует системные сертификаты? а диалог со скриншота так-то из IDE, напиcанной на Java?

я не знаю, потому и спрашиваю

CA и cert для клиентской программы?! Это что-то новенькое.

проверять сертификат сервера, к которому подключаешься, тоже полезно

я не знаю, потому и спрашиваю

на клиенте такой файл есть? ~/.postgresql/postgresql.crt

на клиенте такой файл есть? ~/.postgresql/postgresql.crt

pgadmin запускает из венды

я хз, есть ли там такое

%APPDATA%\postgresql\postgresql.crt

посмотрите

так

так

Это значит "есть" или "сейчас поищу"?

Это значит "есть" или "сейчас поищу"?

смотрим

root@tarh-elitebook:~# locate postgresql.crt root@tarh-elitebook:~#

у меня нет

psql (9.5.9, server 9.1.24) SSL connection (protocol: TLSv1.2, cipher: DHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off) Type "help" for help. postgres=#

подключился с ноута к удалённой БД

Нашел такую папку, crt нет

в смысле, я поставил на ноут исключительно postgresql client

и подключился с помощью psql

и вот у меня возникло, скажем так, гммм...

вопрос

да, вопрос

"какого хуя"

и подключился с помощью psql

фигня какая-то выходит, в чем тогда смысл ssl? видимо я чего-то не понимаю.

"какого хуя"

присоединяюсь.

фигня какая-то выходит, в чем тогда смысл ssl? видимо я чего-то не понимаю.

наверное, вопрос заключается в фразе "а как оно там реализуется?"

фигня какая-то выходит, в чем тогда смысл ssl? видимо я чего-то не понимаю.

Видимо не требуется клиентский сертификат. Просто защищенный канал

Лёх

тебе будет полезно

Во, Сергей объяснил, спасибо

Видимо не требуется клиентский сертификат. Просто защищенный канал

а как оно там реализуется?

а как оно там реализуется?

А Вы пробовали в датагрипе просто включить галочку Use SSL ничего не указывая?

Давайте я пофантазирую. psql собран с системным OpenSSL , с которым в свою очередь пришли CA-файлы

А Вы пробовали в датагрипе просто включить галочку Use SSL ничего не указывая?

пробовали

А Вы пробовали в датагрипе просто включить галочку Use SSL ничего не указывая?

это была первая мысль

Давайте я пофантазирую. psql собран с системным OpenSSL , с которым в свою очередь пришли CA-файлы

воооот

Давайте я пофантазирую. psql собран с системным OpenSSL , с которым в свою очередь пришли CA-файлы

но как работает pgadmin на венде?

а в чём в принципе-то проблема? :)

Алексей Лёх, а задача-то какая стоит?

На винде подключить datagrip к базе. Pgadmin не испытывает проблем

На винде подключить datagrip к базе. Pgadmin не испытывает проблем

но почему datagrip?

результат-то какой требуется? конечный

hostssl - это просто матчинг, как проверять авторизацию при подключении через ssl

а ошибка какая? :)

Datagrip более продвинутая прога чем pgadmin

на что ругается datagrip?

Функции похожие

на что ругается datagrip?

там WAN между

и hostssl для wan

соответственно...

ну ясно, да

эм, это не ответ на вопрос "на что ругается датагрип"

Если нет галочки ssl то на no_hba, если есть то ssl error

эм, это не ответ на вопрос "на что ругается датагрип"

без ssl не подключается потому что нет записи в pg_hba

так а можно цельное сообщение, а не два слова? :)

а при включении ssl требует файлы CA и сертификаты

прямо требует-требует? :)

https://cdn.discordapp.com/attachments/356773946789724165/363340980398718976/Untitled.png

прямо требует-требует? :)

ага

а вот тут кто-то про яву не зря говорил, как мне кажется

посмотрите вот это: https://jdbc.postgresql.org/documentation/91/ssl-client.html

Прям первой фразой: Unlike psql and other libpq based programs the JDBC driver does server certificate validation by default

Прям первой фразой: Unlike psql and other libpq based programs the JDBC driver does server certificate validation by default

так и есть, бибилиотеки

да, ява принципиально валидирует сертификат, и самоподписанный надо шарить

охоспади

так чо, какое решение?

взять сертификат из хоста и скормить датагрипу

по дефолту юзается системный snakeoil, кажется

в смысле, подготовить комплект файлов на psql сервере

Надо с помошью допустим keytool загрузить самоподписаный сертификат сервера как trusted certificat в keystore используемый datagrip'ом

в полном объёме

они там есть уже какие-никакие

CA, приватные ключи и клиентские сертификаты

Надо с помошью допустим keytool загрузить самоподписаный сертификат сервера как trusted certificat в keystore используемый datagrip'ом

так

Алексей а нам точно оно надо?

так сделайте туннель по ssh и ходите как белые люди

так сделайте туннель по ssh и ходите как белые люди

как оно будет выглядеть?

мне неясен момент с маршрутами

датагрип прицепится по ssh -L сам и пробросит дальше какой надо порт куда надо

или погоди, просто порт штоль пробросить?

если прямо на ту машину - то локальный

порт пробросить....

в датагрипе есть вся машинерия для этого

просто дай локального юзера, хоть nologin

и вбей в настройках

а, да, всем спасибо за участие

фигня какая-то выходит, в чем тогда смысл ssl? видимо я чего-то не понимаю.

Насколько понял из беглого просмотра документации, можно а) шифровать трафик и б) авторизовать клиентов по сертификатам. В случае с (а) CA наверняка может содержаться в /etc/ssl/certs (если, конечно, подлинность сертификата проверяется на клиенте)

Насколько понял из беглого просмотра документации, можно а) шифровать трафик и б) авторизовать клиентов по сертификатам. В случае с (а) CA наверняка может содержаться в /etc/ssl/certs (если, конечно, подлинность сертификата проверяется на клиенте)

я тут вспомнил, то на всех линукс-машинах есть еще ключи в /etc/ssh мож они играют?

или они тока для ssh?

Ребят, почему такое неочевидное поведение https://goo.gl/sqGzBh

Вы есть в gitter?