客户端到pgbouncer的基于证书的认证失败。

以下是在pgbouncer配置文件中使用基于主机名的证书验证的示例。假设您的客户端证书位于 /path/to/client.cert。

1. 生成一个自签名的根证书：

$ openssl genrsa -out root-ca.key 4096
$ openssl req -x509 -new -nodes -key root-ca.key -days 3650 -out root-ca.crt -subj "/CN=My Root CA"

2. 生成一个服务器证书签名请求：

$ openssl genrsa -out server.key 2048
$ openssl req -new -key server.key -out server.csr -subj "/CN=myserver.example.com"

3. 使用根证书签名服务器证书：

$ openssl x509 -req -in server.csr -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -out server.crt -days 365

4. 将服务器证书和密钥添加到pgbouncer配置文件中：

tls-cert-file = /path/to/server.crt
tls-key-file = /path/to/server.key

5. 确保客户端证书是由根证书签名的：

$ openssl verify -CAfile root-ca.crt /path/to/client.cert

6. 让pgbouncer使用基于主机名的证书认证：

auth_type = cert
auth_file = /path/to/root-ca.crt
client_cert_names = myserver.example.com

7. 确保客户端证书使用与服务器证书相同的名称：

$ openssl x509 -in /path/to/client.cert -noout -subject

现在，当客户端尝试连接到pgbouncer时，它将使用其证书进行身份验证。如果证书不是由根证书签名或证书名称不匹配，则身份验证将失败。