Plausible Analytics 连接外部PostgreSQL数据库的SSL配置问题解析

在使用Plausible Analytics社区版v2.1.0时，许多用户遇到了连接外部PostgreSQL数据库（特别是某些云托管服务）时的SSL认证问题。本文将深入分析这一问题的技术背景和解决方案。

问题现象

当用户尝试将Plausible v2.1.0与外部PostgreSQL数据库（配置了SSL加密）连接时，系统会抛出"Unknown CA"错误，表明客户端无法识别服务器提供的证书颁发机构(CA)。典型的错误信息如下：

Postgrex.Protocol failed to connect: ssl connect: TLS client: In state wait_cert at ssl_handshake.erl:2133 generated CLIENT ALERT: Fatal - Unknown CA

根本原因分析

这个问题源于Elixir/Erlang的SSL堆栈与PostgreSQL数据库服务器之间的证书验证机制不匹配。具体来说：

1. 某些云服务商托管的PostgreSQL使用自己的CA证书颁发机构
2. Plausible的Docker镜像默认不包含这些特定的CA证书
3. 客户端无法验证服务器证书的合法性，导致连接中断

解决方案

标准解决方案

1. 获取CA证书：从云服务商获取其PostgreSQL服务使用的CA证书
2. 配置环境变量：

   DATABASE_CACERTFILE=/path/to/ca-certificate.crt
   

3. 更新连接字符串：

   DATABASE_URL=postgres://user:password@host:port/dbname?sslmode=verify-ca
   

高级配置选项

对于不同安全级别的需求，可以调整sslmode参数：

• require：仅要求SSL连接，不验证证书
• verify-ca：验证服务器证书是否由可信CA签发
• verify-full：最严格模式，同时验证主机名

容器部署注意事项

1. 确保CA证书文件已正确挂载到容器内
2. 文件权限设置正确（通常需要644权限）
3. 容器重启后环境变量才会生效

最佳实践建议

1. 证书管理：将CA证书作为Docker卷挂载，而非直接嵌入镜像
2. 连接测试：先使用psql命令行工具测试连接，确认证书配置正确
3. 日志监控：密切关注Plausible启动日志，及时发现连接问题
4. 版本兼容性：不同Plausible版本可能有细微的SSL处理差异

总结

外部数据库连接问题在Plausible部署中较为常见，特别是云服务商托管的PostgreSQL实例。通过正确配置CA证书和SSL参数，可以建立安全可靠的数据库连接。对于某些云服务商用户，特别注意其特定的CA证书要求，这是解决问题的关键所在。