Plausible社区版v2.1.0连接外部PostgreSQL数据库的SSL配置指南

在使用Plausible社区版v2.1.0时，许多用户遇到了连接外部PostgreSQL数据库的SSL认证问题，特别是当数据库托管在云服务提供商上时。本文将详细介绍如何正确配置SSL连接参数，解决常见的认证错误。

问题背景

升级到Plausible v2.1.0版本后，系统开始强制要求更严格的SSL验证机制。当使用外部PostgreSQL数据库（特别是云托管服务）时，常见的错误包括：

TLS client: In state wait_cert at ssl_handshake.erl:2133 generated CLIENT ALERT: Fatal - Unknown CA

这表明客户端无法识别数据库服务器提供的CA证书。

解决方案

基础配置

最基本的连接字符串格式应为：

DATABASE_URL=postgres://用户名:密码@主机:端口/数据库名?ssl=true

进阶SSL验证

对于需要严格验证的环境，推荐使用以下配置：

1. 首先从数据库服务商处获取CA证书文件（如云服务商提供的ca-certificate.crt）
2. 将证书文件挂载到容器内的/app目录
3. 设置以下环境变量：

DATABASE_URL=postgres://用户名:密码@主机:端口/数据库名?sslmode=verify-ca&sslrootcert=/app/ca-certificate.crt&ssl=true
DATABASE_CACERTFILE=/app/ca-certificate.crt

关键注意事项

1. 证书文件路径必须与DATABASE_URL中的sslrootcert参数和DATABASE_CACERTFILE变量完全一致
2. 修改环境变量后必须完全重建容器才能生效
3. 对于云服务提供商，必须使用服务商提供的特定CA证书
4. 在某些情况下，可能需要多次重启服务才能使配置完全生效

配置示例

完整的docker-compose配置示例：

environment:
  DATABASE_URL: postgres://${DB_USER}:${DB_PASSWORD}@${DB_HOST}:${DB_PORT}/${DB_NAME}?sslmode=verify-ca&sslrootcert=/app/ca-certificate.crt&ssl=true
  DATABASE_CACERTFILE: /app/ca-certificate.crt
volumes:
  - ./ca-certificate.crt:/app/ca-certificate.crt

排错技巧

如果遇到连接问题，可以尝试以下步骤：

1. 确认证书文件内容是否正确
2. 检查文件权限是否允许容器内进程读取
3. 尝试不同的sslmode值（require/verify-ca/verify-full）
4. 查看容器日志获取详细的错误信息

通过以上配置，大多数SSL连接问题都可以得到解决，确保Plausible社区版能够安全地连接到外部PostgreSQL数据库。