20.12. 证书认证

此身份验证方法使用 SSLClient 端证书执行身份验证。因此，它仅适用于 SSL 连接。使用此身份验证方法时，服务器将要求 Client 端提供有效的可信证书。没有密码提示将发送给 Client 端。证书的cn(公用名)属性将与请求的数据库用户名进行比较，如果匹配，则允许登录。用户名 Map 可用于允许cn与数据库用户名不同。

SSL 证书身份验证支持以下配置选项：

• map

  • 允许在系统用户名和数据库用户名之间进行 Map。有关详情，请参见Section 20.2。

在指定证书认证的pg_hba.confLogging，认证选项clientcert假定为1，由于该方法需要 Client 端证书，因此无法将其关闭。 cert方法添加到基本clientcert证书有效性测试的目的是检查cn属性是否与数据库用户名匹配。