pgloader项目中使用签名证书连接PostgreSQL的SSL问题解决方案

问题背景

在使用pgloader工具连接PostgreSQL数据库时，当配置了SSL签名证书后，可能会遇到"SSL alert number 48"的错误。这个错误表明客户端和服务器在SSL/TLS握手过程中出现了证书验证问题，具体表现为客户端无法识别服务器证书的颁发机构(CA)。

错误现象

典型的错误信息如下：

DB-CONNECTION-ERROR: Failed to connect to pgsql... 
SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
SSL alert number 48

有趣的是，使用psql命令行工具连接相同的数据库却可以成功，这说明证书本身是有效的，问题出在pgloader如何加载和验证这些证书上。

根本原因分析

1. 证书信任链问题：pgloader可能没有正确加载CA根证书，导致无法验证服务器证书的有效性。

2. 系统证书存储：与psql不同，pgloader可能没有使用系统默认的证书存储位置，或者没有正确配置证书路径。

3. 证书格式问题：虽然证书在psql中工作，但pgloader可能对证书格式有特定要求。

解决方案

方法一：将证书添加到系统信任存储

1. 安装ca-certificates包：

sudo yum install -y ca-certificates

2. 启用系统证书信任机制：

sudo update-ca-trust force-enable

3. 将CA证书复制到系统信任存储目录：

sudo cp your-certificate.crt /etc/pki/ca-trust/source/anchors/

4. 更新证书信任存储：

sudo update-ca-trust extract

方法二：明确指定证书路径

如果不想修改系统证书存储，可以在pgloader命令中明确指定证书路径：

pgloader --ssl-cert /path/client.crt --ssl-key /path/client.key --ssl-root-cert /path/root.crt ...

技术原理

1. SSL/TLS握手过程：当客户端连接服务器时，服务器会发送其证书链，客户端需要验证这个证书链是否由受信任的CA签发。

2. 证书信任存储：Linux系统通常使用/etc/pki/ca-trust/source/anchors/作为额外的CA证书存储位置，update-ca-trust命令会将这些证书整合到系统范围的信任存储中。

3. pgloader的特殊性：pgloader作为数据迁移工具，可能使用不同于psql的SSL库或配置方式，因此需要特别注意证书的加载方式。

最佳实践建议

1. 对于生产环境，建议使用方法一将证书添加到系统信任存储，这样所有应用程序都能受益。

2. 定期检查证书有效期，避免因证书过期导致连接问题。

3. 在开发环境中，可以使用--no-ssl-cert-verification参数临时绕过证书验证，但不建议在生产环境中使用。

4. 确保证书文件权限设置正确，私钥文件应设置为仅所有者可读(600权限)。

通过以上方法，可以解决pgloader在使用签名证书连接PostgreSQL时遇到的SSL验证问题，确保数据迁移过程的安全性和可靠性。