Делаем ключи пользуясь вот этой статьёй https://www.howtoforge.com/postgresql-ssl-certificates и кучей догадок и озарений


Все действия по созданию ключей и сертификатов выполняются в каталоге /etc/pgbouncer из под рута
Названия файлов можно менять произвольно

1) Создаём закрытый ключ (просит ввести пароль - вводим):

2) Удаляем пароль из получившегося ключа (просит введённый в п.1 пароль - вводим):

3) Создаём сертификат на базе ключа (лично я в поле CN указал IP-адрес сервера, на всякий пожарный):

4) Создаём закрытый ключ клиента для клиентской машины (просит ввести пароль - вводим):

5) Удаляем пароль из получившегося ключа (просит введённый в п.4 пароль - вводим):

6) Создаём сертификат, НЕ указываем пароль пользователя в соответствующем поле 'extra', CN должен содержать имя пользователя базы данных

7) Подписываем сертификат пользователя корневым сертификатом созданным в п.3

8) Права доступа, удаление лишнего:

9) Прописываем настройки в /etc/pgbouncer/pgbouncer.ini:
;; Если сделать следующий параметр равным tlsv1.3 то счастья вам не будет

10) Список получившихся файлов "ls -l":

11) Копируем pgbclient.crt, pgbclient.key, root.crt на локальную машину в домашний каталог, или туда где собираемся хранить сертификаты

12) На локальной машине добавляем root.crt в папку pgAdmin4 /home/username/.pgadmin
сервер pgAdmin4 перезапускать не надо.

13) Добавление корневого сертификата в список доверенных состоит из двух этапов:
13.1 копируем сертификат в специальное место:
13.2 выполняем команду
откроется окно в котором нужно будет выбрать вариант "спрашивать" или "ask" (от локали зависит)
затем откроется список сертификатов лежащих в той папке,куда копировали наш корневой сертификат
его в этом списке находим (у него нет звездочки слева) ставим ему звездочку и щелкаем ок
эту процедуру необходимо выполнить как на сервере, так и на клиентской машине иначе:
Unable to connect to server:
ошибка SSL: tlsv1 alert unknown ca

14) рестартуем боунсера:

15) Создаем в веб-интерфейсе pgAdmin4 новый сервер, указываем его адрес, имя пользователя, пароль, и, на вкладке "SSL" три файла (два сертификата и один ключ).
по названиям полей в которых нужно указывать где лежат файлы вполне понятно что куда писать.

Я делал ключи и сертификаты на сервере, потому что там у меня стоит аппаратный генератор случайных чисел и конфиги ssl поправлены на использование пула случайных чисел. Не уверен что у всех есть такое счастье (не такое уж и дорогое, кстати), так что можете делать на рабочей машине и копировать на сервер.
Также в дебиан есть пакет для генерации случайных чисел на основе колдунства. https://ivirt-it.ru/linux-kernel-rng/
У кого-то может быть не установлен пакет ca-certificates - установите, он нужен в п.13
Ключи пользователя с сервера можно удалять после того как убедитесь что подключение к БД устанавливается, а можно не удалять - вдруг отзывать придётся (как это делается - не знаю)

Не знаю кто как, а я с этим провозился весь день.