pgBackRest TLS配置：使用独立CA证书的注意事项

在配置pgBackRest的TLS加密通信时，证书颁发机构(CA)的选择直接影响服务间的认证流程。通过分析一个典型配置案例，我们可以深入理解多CA环境下的证书验证机制。

核心配置原则

pgBackRest要求通信双方必须使用相同CA签发的证书链。这意味着：

• 当主机A作为客户端连接主机B时
• 主机B提供的服务端证书必须能被主机A配置的CA证书验证
• 反之亦然（双向认证场景）

典型错误场景分析

案例1：CA不匹配

ERROR: unable to verify certificate presented by 'backup-srv:8432': unable to get local issuer certificate

这表明客户端配置的CA证书(ca2.crt)无法验证服务端证书(由ca1.crt签发)，因为两者来自不同的信任链。

案例2：CN/SAN校验失败

ERROR: unable to find hostname 'backup-srv' in certificate common name or subject alternative names

即使CA匹配，证书中的Common Name(CN)或Subject Alternative Name(SAN)必须包含实际连接使用的主机名。这是TLS的基础安全要求。

最佳实践建议

1. 统一CA管理：为pgBackRest集群维护统一的CA体系，简化证书管理
2. 双主机配置要点：
   • 数据库主机需要包含repo主机的CA证书
   • repo主机需要包含数据库主机的CA证书
3. 证书创建规范：
   • 确保证书的CN或SAN包含实际使用的主机名
   • 建议使用SAN扩展支持多主机名场景
4. 调试技巧：
   • 使用openssl verify命令预先验证证书链
   • 检查证书内容是否包含预期的主机名

高级配置方案

对于需要隔离CA的场景，可以采用以下架构：

1. 为每个服务角色创建专用中间CA
2. 将各中间CA的根证书部署到对应通信方
3. 确保证书签发时包含完整的中间CA链

这种方案既满足了安全隔离需求，又保持了证书验证链的完整性。

通过理解这些证书验证机制，管理员可以更灵活地设计pgBackRest的TLS安全架构，同时避免常见的配置错误。