Использовать самозаверяющий сертификат для внутренних серверов?
У меня есть веб-сервер Nginx / Gunicorn / Django и сервер базы данных PostgreSQL, к которым я хочу получить доступ только с помощью SSL. Я купил, установил и настроил сертификат на своем веб-сервере в центре сертификации, поэтому теперь мои пользователи могут получить доступ к моему веб-сайту только через HTTPS, и он работает нормально. Теперь я хотел бы реализовать безопасную двустороннюю связь между моим веб-сервером и сервером базы данных через SSL. Поскольку с моим сервером базы данных общается только мой веб-сервер, Будет ли с точки зрения безопасности нормально сгенерировать мой собственный закрытый ключ и сертификат с помощью команды openssl ("самоподписывание"), или я должен получить бесплатные откуда-то вроде letsencrypt.org?
Нет ничего плохого в использовании самозаверяющих сертификатов, если подписывающему лицу доверяют. Вам следует позаботиться об управлении своим ключом, как и с любым сертификатом. Поскольку цепочки не будет, может быть сложнее определить, изменился ли сертификат, но это опять же должно быть тем, на что вы все равно обращаете внимание.
Было бы полезно узнать, какой сервер базы данных вы используете, на случай, если вам потребуется знать о проверке сертификата.
Правка после разъяснения Postgres:
Я не использую Postgres, но не похоже, что у вас возникнут какие-либо проблемы. Ниже приведена ссылка на их документацию о том, как его настроить.