动态与公告

产品动态

产品简介

产品概述

产品特性

产品优势

应用场景

信息安全说明

地域和可用区

产品功能列表

大版本生命周期说明

MSSQL 兼容版

产品计费

计费概述

实例类型与规格

购买方式

退费说明

欠费说明

备份空间收费说明

快速入门

创建 PostgreSQL 实例

连接 PostgreSQL 实例

管理 PostgreSQL 实例

数据导入

通过 DTS 迁移数据

内核能力介绍

内核版本概述

内核版本更新动态

查看内核版本

自研内核功能介绍

数据库审计

审计服务说明

开通审计服务

查看审计日志

修改审计服务

审计性能说明

用户指南

实例管理

升级实例

CPU 弹性扩容

只读实例

账号管理

数据库管理

参数管理

日志管理及分析

备份与恢复

数据迁移

插件管理

网络管理

访问管理

数据安全

租户及资源隔离

安全组

监控与告警

标签

AI 实践

使用 tencentdb_ai 插件调用大模型

使用 tencentdb_ai 插件构建 AI 应用

结合 Supabase 快速构建基于云数据库 PostgreSQL 的后端服务

实践教程

跨库访问

如何在 PostgreSQL 中自动创建分区

基于 pg_roaringbitmap 实现超大规模标签查找

一条 SQL 实现查询附近的人

如何配置云数据库 PostgreSQL 作为 GitLab 外部数据源

通过 cos_fdw 插件支持分级存储能力

通过 pgpool 实现读写分离

通过 auto_explain 插件实现慢 SQL 分析

使用 pglogical 进行逻辑复制

使用 Debezium 采集 PostgreSQL 数据

在 CVM 本地搭建 PostgreSQL 异地灾备环境

只读实例与只读组实践教程

如何使用云函数定时操作数据库

表膨胀处理

性能白皮书

测试方法

测试结果

API 文档

History

Introduction

API Category

Making API Requests

Instance APIs

Read-only Replica APIs

Backup and Recovery APIs

Parameter Management APIs

Security Group APIs

Performance Optimization APIs

Account APIs

Specification APIs

Network APIs

Data Types

Error Codes

常见问题

设置 SSL 加密

PDF

聚焦模式

字号

最后更新时间： 2026-03-31 14:31:22

SSL 加密概述
SSL（Secure Sockets Layer）认证是客户端到云数据库服务器端的认证，对用户和服务器进行认证。开通 SSL 加密，可获取 CA 证书，将 CA 证书上传在服务端。在客户端访问数据库时，将激活 SSL 协议，在客户端和数据库服务端之间建立一条 SSL 安全通道，实现数据信息加密传输，防止数据在传输过程中被截取、篡改、窃听，保证双方传递信息的安全性。
SSL 协议要求建立在可靠的传输层协议（TCP）之上，其优势在于它是与应用层协议独立无关的，高层的应用层协议（例如：HTTP、FTP、TELNET 等）能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作，在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。
背景
使用非加密方式连接数据库时，在网络中传输的所有信息都是明文，因此存在被非法用户窃听、篡改、冒充的三大风险；而 SSL 协议是为解决这三大风险而设计的，理论上可达到：
信息是加密传播，第三方无法窃听。
具有校验机制，一旦被篡改，通信双方会立刻发现。
配备身份证书，防止身份被冒充。
云数据库 PostgreSQL 支持通过开启 SSL 加密来增强链路安全性，并支持下载和安装 SSL CA 证书到需要的应用服务。
注意：
SSL 加密不保护数据本身，是确保来往于数据库和服务器之间的流量安全，在传输层对网络连接进行加密，能够提升通信数据的安全性和完整性，但会同时增加网络连接响应时间。
注意事项
实例版本为 PostgreSQL 11及以上版本。
支持 TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。
实例克隆出新实例后，新实例默认不开启 SSL 连接加密，需要您手动开启。
如果需要对只读实例开启 SSL 连接加密，则强烈建议对只读组内的所有只读实例开启连接加密。否则，可能会因为保护的连接地址为只读组的 VIP ，导致部分请求失败。
开启 SSL 过程中，会重启您的数据库实例以加载 SSL 证书，请确保业务具备重连机制。
开启 SSL 加密
1. 登录 PostgreSQL 控制台，在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
2. 在实例管理页面的数据安全页下，选择 SSL 页签。
﻿
3. ﻿此功能状态默认为未打开，将开关调为开启，然后单击确定，开启 SSL 加密。
开启 SSL 窗口如下：
﻿
﻿系统支持在开启 SSL 连接加密的时候指定 VIP 或者外网域名作为保护的连接地址。当实例有多个连接地址时，您可以选择其中一个连接地址。每次开启 SSL 连接加密只支持选择一个 VIP 或者外网域名。
单击下载，下载 SSL CA 证书，证书有效期为20年。下载的文件为压缩包（TencentDB-PG-SSL-CA.zip），包含如下三个文件：
p7b 文件：用于 Windows 系统中导入 CA 证书。
jks 文件：Java 中的 truststore 和 keystore 证书存储文件，密码统一为 tencentdb_pg，用于 Java 程序中导入 CA 证书链。
pem 文件：用于其他系统或应用中导入 CA 证书。
使用 SSL 链路连接数据库
psql 终端 SSL 连接
说明：
本步骤依赖本地 PostgreSQL 客户端自带的 psql 命令行工具，请确保您已安装 PostgreSQL 客户端，具体安装及操作请参见 PostgreSQL 官方文档。
1. 在/usr/local/pgsql/文件夹下创建.postgresql文件夹。
mkdir -p /usr/local/pgsql/.postgresql
2. 将下载的服务端证书 ca.pem和ca.jks拷贝到.postgresql文件夹。
[root@VM-0-6-tencentos .postgresql]# ll
total 4
-rw------- 1 postgres postgres 2681 Feb  6 11:13 ca.pem
3. 修改 .postgresql 文件夹权限。
chown postgres:postgres /usr/local/pgsql/.postgresql/*
chmod 600 /usr/local/pgsql/.postgresql/*
4. 设置 postgres 用户的环境变量。
[root@VM-0-6-tencentos .postgresql]# export PGSSLROOTCERT="/usr/local/pgsql/.postgresql/ca.pem"
[root@VM-0-6-tencentos .postgresql]# echo $PGSSLROOTCERT
/usr/local/pgsql/.postgresql/ca.pem
5. 设置客户端在连接时对数据库的认证方式。
[root@VM-0-6-tencentos .postgresql]# export PGSSLMODE="require"
[root@VM-0-6-tencentos .postgresql]# echo $PGSSLMODE
require
说明：
PGSSLMODE 参数的说明请参考 官方文档。
6. 连接数据库。
[root@VM-0-6-tencentos .postgresql]# psql -h10.6.0.1 -p5432 -Udbadmin -dpostgres
Password for user dbadmin: 
psql (16.4, server 11.22)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)
Type "help" for help.
﻿
postgres=> 
如上所示,如果输出中包含 SSL connection，则表示当前连接使用了 SSL 加密。
JDBC SSL 连接
说明：
本步骤依赖于您已经安装 JDK 并下载了 JDBC 驱动。
1. 在/usr/local/pgsql/文件夹下创建.postgresql文件夹。
mkdir -p /usr/local/pgsql/.postgresql
2. 将下载的服务端证书 ca.pem 和ca.jks拷贝到.postgresql文件夹。
[root@VM-0-6-tencentos .postgresql]# ll
total 8
-rw------- 1 postgres postgres 2840 Feb  6 19:55 ca.jks
-rw------- 1 postgres postgres 2681 Feb  6 11:13 ca.pem
3. 修改 .postgresql 文件夹权限。
chown postgres:postgres /usr/local/pgsql/.postgresql/*
chmod 600 /usr/local/pgsql/.postgresql/*
4. 配置业务代码使用 SSL 连接 PostgreSQL，并运行程序。
使用 pem 证书示例配置如下，具体参数基于您的业务详情配置。
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Properties;
﻿
public class Main {
    public static void main(String[] args) {
        try {
            Class.forName("org.postgresql.Driver");
﻿
            Properties props = new Properties();
            props.setProperty("user", "xxxxxxx");
            props.setProperty("password", "xxxxxxxx");
            props.setProperty("ssl", "true");
            props.setProperty("sslmode", "require");
            props.setProperty("sslrootcert", "/usr/local/pgsql/.postgresql/ca.pem");
﻿
            Connection conn = DriverManager.getConnection(
                "jdbc:postgresql://10.6.0.1:5432/postgres",
                props
            );
﻿
            Statement stmt = conn.createStatement();
﻿
            ResultSet rs = stmt.executeQuery("SELECT * FROM mytable");
﻿
            while (rs.next()) {
                System.out.println(rs.getString("id"));
            }
﻿
            conn.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
使用 jks 证书示例配置如下，具体参数基于您的业务详情配置。
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Properties;
﻿
public class Main1 {
    public static void main(String[] args) {
        try {
            Class.forName("org.postgresql.Driver");
﻿
            System.setProperty("javax.net.ssl.trustStore", "/usr/local/pgsql/.postgresql/ca.jks");
            System.setProperty("javax.net.ssl.trustStorePassword","tencentdb_pg");
            System.setProperty("javax.net.ssl.keyStore","/usr/local/pgsql/.postgresql/ca.jks");
            System.setProperty("javax.net.ssl.keyStorePassword","tencentdb_pg");
            
            Properties props = new Properties();
            props.setProperty("user", "xxxxx");
            props.setProperty("password", "xxxxx");
            props.setProperty("ssl", "true");
            props.setProperty("sslmode", "require");
            props.setProperty("sslfactory", "org.postgresql.ssl.DefaultJavaSSLFactory");
            Connection conn = DriverManager.getConnection(
                "jdbc:postgresql://10.6.0.1:5432/postgres",
                props
            );
﻿
            Statement stmt = conn.createStatement();
﻿
            ResultSet rs = stmt.executeQuery("SELECT * FROM mytable");
﻿
            while (rs.next()) {
                System.out.println(rs.getString("id"));
            }
﻿
            conn.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
Go SSL 连接
说明：
本步骤依赖于您已经安装 Go 并完成驱动配置。
1. 在/usr/local/pgsql/文件夹下创建.postgresql文件夹。
mkdir -p /usr/local/pgsql/.postgresql
2. 将下载的服务端证书 ca.pem 拷贝到.postgresql文件夹。
[root@VM-0-6-tencentos .postgresql]# ll
total 4
-rw------- 1 postgres postgres 2681 Feb  6 11:13 ca.pem
3. 修改 .postgresql 文件夹权限。
chown postgres:postgres /usr/local/pgsql/.postgresql/*
chmod 600 /usr/local/pgsql/.postgresql/*
4. 配置业务代码使用 SSL 连接 PostgreSQL，并运行程序。示例配置如下，具体参数基于您的业务详情配置。
package main
﻿
import (
	"database/sql"
	"fmt"
	"log"
﻿
	_ "github.com/lib/pq"
)
﻿
func main() {
	connStr := "user=dbadmin password=xxxxx dbname=postgres host=10.6.0.1 port=5432 sslmode=require sslrootcert=/usr/local/pgsql/.postgresql/ca.pem"
	db, err := sql.Open("postgres", connStr)
	if err != nil {
		log.Fatal(err)
	}
﻿
	err = db.Ping()
	if err != nil {
		log.Fatal(err)
	}
﻿
	fmt.Println("Successfully connected!")
}
Node.js SSL 连接
1. 在/usr/local/pgsql/文件夹下创建.postgresql文件夹。
mkdir -p /usr/local/pgsql/.postgresql
2. 将下载的服务端证书 ca.pem 拷贝到.postgresql文件夹。
[root@VM-0-6-tencentos .postgresql]# ll
total 4
-rw------- 1 postgres postgres 2681 Feb  6 11:13 ca.pem
3. 修改 .postgresql 文件夹权限。
chown postgres:postgres /usr/local/pgsql/.postgresql/*
chmod 600 /usr/local/pgsql/.postgresql/*
4. 配置业务代码使用 SSL 连接 PostgreSQL，并运行程序。示例配置如下，具体参数基于您的业务详情配置。
const { Client } = require('pg');
const fs = require('fs');
const tls = require('tls');
﻿
// 配置数据库连接参数
const client = new Client({
  user: '****',
  host: '**.**.**.**',
  database: '*****',
  password: '*****',
  port: 5432, // 默认端口
  ssl: {
    host: '**.**.**.**',
    ca: fs.readFileSync('./ca.pem').toString(), // CA 证书路径
  },
});
﻿
// 连接到数据库
client.connect()
.then(() => {
    console.log('Connected to PostgreSQL');
    // 查询 pg_stat_ssl 视图，获取当前连接的详细 SSL 信息。这里的query可以业务自定义
    const query = `
      SELECT ssl, version, cipher, bits
      FROM pg_stat_ssl
      WHERE pid = pg_backend_pid();
    `;
    return client.query(query);
  })
﻿
  .then(res => {
    if (res.rows.length > 0) {
      const sslInfo = res.rows[0];
      console.log('SSL connection:', sslInfo.ssl);
      console.log('SSL version:', sslInfo.version);
      console.log('SSL cipher:', sslInfo.cipher);
      console.log('SSL bits:', sslInfo.bits);
    } else {
      console.log('No SSL information available for this connection.');
    }
    return client.end();
  })
  .catch(err => console.error('Connection error', err.stack));
刷新服务端证书
在如下几种场景如您想变更实例 SSL 连接加密保护的连接 VIP，您可以刷新服务端证书。
实例新增网络
实例新增网络后会新增 VIP，如果此时实例已经开启了 SSL 连接加密且选择的保护地址为原来的 VIP，则客户端使用此新增 VIP 连接实例并开启 SSL 连接加密会报错。此时您需要刷新服务端证书，并重新选择您需要保护的连接 VIP。
实例删除网络
实例删除网络后会有一个 VIP 被删除，如果此时实例已经开启了 SSL 连接加密且选择的保护地址为删除的 VIP，则客户端使用此删除的 VIP 或者实例的其他 VIP 连接实例并开启 SSL 连接加密会报错。此时您需要刷新服务端证书，并重新选择您需要保护的连接 VIP。
实例开启外网
实例开启外网后，会新增外网连接地址，此时如果实例已经开启了 SSL 连接加密且选择的保护地址不是该外网地址，则客户端使用此外网地址连接实例并且开启 SSL 连接加密会报错。此时您需要刷新服务端证书，并重新选择您需要保护的连接地址为该外网地址。
实例关闭外网
实例关闭外网后，外网地址会被回收。此时如果实例已经开启了 SSL 连接加密且选择的保护地址依然是该外网地址，则客户端使用此外网地址连接实例并且开启 SSL 连接加密会报错。此时您需要刷新服务端证书，并重新选择您需要保护的连接 VIP。
只读组内新增只读实例
当只读组内所有的只读实例均已经开启了 SSL 连接加密，此时只读组内新增了只读实例，该只读实例没有开启 SSL 连接加密或者开启了连接加密但是选择的保护地址不是只读组的 VIP，此时客户端使用只读组的 VIP 连接时可能会存在部分请求失败。此时您需要将只读组内所有只读实例均开启 SSL 连接加密。且选择的保护地址为只读组的 VIP。
只读实例变更连接保护地址
只读实例在开启 SSL 连接加密时可以选择的连接地址为只读组的 VIP 或者 只读实例的 VIP ，当您想变更保护地址时，您需要刷新服务端证书。
刷新服务端证书步骤如下：
1. 登录 PostgreSQL 控制台，在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
2. 在实例管理页面的数据安全页下，选择 SSL 页签。
3. 在 SSL 页，您能看到当前证书的保护连接地址。
﻿
4. 如果您需要更换保护的连接地址，点击修改即可。
﻿
关闭 SSL 加密
说明：
关闭 SSL 过程中，会重启您的数据库实例以卸载 SSL 证书，请确保业务具备重连机制。
1. 登录 PostgreSQL 控制台，在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
2. 在实例管理页面的数据安全页下，选择 SSL 页签。
3. 单击已开通前面的开关按钮，在弹出的提示框中单击确定。
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

云数据库 PostgreSQL

设置 SSL 加密

SSL 加密概述

背景

注意事项

开启 SSL 加密

使用 SSL 链路连接数据库

psql 终端 SSL 连接

JDBC SSL 连接

Go SSL 连接

Node.js SSL 连接

刷新服务端证书

关闭 SSL 加密

帮助和支持