kèo bóng đá eurokèo bóng đá euroHỗ trợ biên dịch trong,PostgreSQLMáy chủ có thể được bắt đầu bằngkèo bóng đá eurođược bật bằng cách đặt tham sốkèo bóng đá eurođếntrêninPostgreSql.conf. Máy chủ sẽ lắng nghe cả bình thường vàPostgreSQL: TàiKết nối trên cùng một cổng TCP và sẽ thương lượng kèo bóng đá euro bất kỳ máy khách kết nối nào về việc có sử dụngkèo bóng đá euro. Theo mặc định, đây là tùy chọn của khách hàng; nhìn thấyPhần 21.1Giới thiệu về cách thiết lập máy chủ để yêu cầu sử dụngkèo bóng đá euroĐối kèo bóng đá euro một số hoặc tất cả các kết nối.

Để bắt đầu trongkèo bóng đá euroMODE, các tệp chứa kèo bóng đá euro chỉ máy chủ và khóa riêng phải tồn tại. Theo mặc định, các tệp này dự kiến ​​sẽ được đặt tênserver.crtvàserver.key, tương ứng, trong thư mục dữ liệu của máy chủ, nhưng các tên và vị trí khác có thể được chỉ định bằng các tham số cấu hìnhSSL_CERT_FILEvàSSL_KEY_FILE.

Trên các hệ thống Unix, các quyền trênserver.keyphải không cho phép bất kỳ quyền truy cập vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 Server.key14118_14204064014235_14387PostgreSQL14428_14536

Nếu thư mục dữ liệu cho phép truy cập đọc nhóm thì các tệp kèo bóng đá euro chỉ có thể cần được đặt bên ngoài thư mục dữ liệu để tuân thủ các yêu cầu bảo mật được nêu ở trên. Nói chung, quyền truy cập nhóm được bật để cho phép người dùng không có đặc quyền sao lưu cơ sở dữ liệu và trong trường hợp đó, phần mềm sao lưu sẽ không thể đọc các tệp kèo bóng đá euro chỉ và có thể sẽ xảy ra lỗi.

Nếu khóa riêng được bảo vệ bằng cụm mật khẩu, máy chủ sẽ nhắc cho cụm mật khẩu và sẽ không bắt đầu cho đến khi nó được nhập. Sử dụng cụm mật khẩu theo mặc định vô hiệu hóa khả năng thay đổi cấu hình kèo bóng đá euro của máy chủ mà không cần khởi động lại máy chủ, nhưng xemSSL_Passphrase_Command_Supports_Reload. Hơn nữa, các khóa riêng được bảo vệ bằng cụm mật khẩu không thể được sử dụng ở tất cả các cửa sổ.

kèo bóng đá euro chỉ đầu tiên trongserver.crtphải là chứng chỉ của máy chủ vì nó phải khớp kèo bóng đá euro khóa riêng của máy chủ. Giấy chứng nhậnHồiTrung cấpHồiCơ quan kèo bóng đá euro chỉ cũng có thể được thêm vào tệp. Làm điều này tránh sự cần thiết của việc lưu trữ kèo bóng đá euro chỉ trung gian trên máy khách, giả sử các kèo bóng đá euro chỉ gốc và trung gian đã được tạo bằngV3_CATiện ích mở rộng. (Điều này đặt ràng buộc cơ bản của kèo bóng đá euro chỉCAđếnTRUE16044_16108

Không cần thiết phải thêm kèo bóng đá euro chỉ gốc vàoserver.crt. Thay vào đó, khách hàng phải có kèo bóng đá euro chỉ gốc của chuỗi kèo bóng đá euro chỉ của máy chủ.

PostgreSQLĐọc toàn hệ thốngOpenSSLTệp cấu hình. Theo mặc định, tệp này được đặt tênopenSSL.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Mặc định này có thể được ghi đè bằng cách đặt biến môi trường16897_16911kèo bóng đá euro tên của tệp cấu hình mong muốn.

OpenSSLHỗ trợ một loạt các mật mã và thuật toán xác thực, có sức mạnh khác nhau. Trong khi một danh sách các mật mã có thể được chỉ định trongOpenSSLTệp cấu hình, bạn có thể chỉ định các mật mã cụ thể để sử dụng máy chủ cơ sở dữ liệu bằng cách sửa đổiSSL_CIPHERSinPostgreSql.conf.

Để yêu cầu khách hàng cung cấp kèo bóng đá euro chỉ đáng tin cậy, đặt kèo bóng đá euro chỉ của cơ quan kèo bóng đá euro chỉ gốc (CAS) Bạn tin tưởng vào một tệp trong thư mục dữ liệu, đặt tham sốSSL_CA_FILEinPostgreSql.confvào tên tệp mới và thêm tùy chọn xác thựcclientCert = xác minh-cahoặcclientCert = xác minh-đầy đủđến thích hợphostssldòng trongpg_hba.conf18747_18840Phần 34.19Để biết mô tả về cách thiết lập kèo bóng đá euro chỉ trên máy khách.)

cho ahostsslmục nhập kèo bóng đá euroclientCert = xác minh-ca, máy chủ sẽ xác minh rằng kèo bóng đá euro chỉ của khách hàng được ký bởi một trong các cơ quan kèo bóng đá euro chỉ đáng tin cậy. Nếu nhưclientCert = xác minh-đầy đủđược chỉ định, máy chủ sẽ không chỉ xác minh chuỗi chứng chỉ mà còn kiểm tra xem tên người dùng hay ánh xạ của nó có khớp kèo bóng đá euroCN19447_19559certPhương pháp xác thực được sử dụng (xemPhần 21.12).

kèo bóng đá euro chỉ trung gian chuỗi lên đến kèo bóng đá euro chỉ gốc hiện tại cũng có thể xuất hiện trongSSL_CA_FILETệp nếu bạn muốn tránh lưu trữ chúng trên máy khách (giả sử các kèo bóng đá euro chỉ gốc và trung gian được tạo bằngV3_CAPhần mở rộng). Các mục nhập Danh sách thu hồi kèo bóng đá euro chỉ (CRL) cũng được kiểm tra nếu tham sốSSL_CRL_FILEhoặcSSL_CRL_DIRđược đặt.

TheclientCertTùy chọn xác thực có sẵn cho tất cả các phương thức xác thực, nhưng chỉ trongpg_hba.confCác dòng được chỉ định làhostssl. KhiclientCertKhông được chỉ định, máy chủ xác minh chứng chỉ máy khách chỉ kèo bóng đá euro tệp CA của nó nếu chứng chỉ máy khách được trình bày và CA được cấu hình.

Có hai cách tiếp cận để thực thi rằng người dùng cung cấp kèo bóng đá euro chỉ trong quá trình đăng nhập.

Cách tiếp cận đầu tiên sử dụngcertPhương thức xác thực chohostsslMục nhập trongpg_hba.conf, bản thân chứng chỉ được sử dụng để xác thực đồng thời cung cấp bảo mật kết nối kèo bóng đá euro. Nhìn thấyPhần 21.12Để biết chi tiết. (Không cần thiết phải chỉ định bất kỳclientCertTùy chọn một cách rõ ràng khi sử dụngcertPhương thức xác thực.) Trong trường hợp này,CN(Tên chung) Được cung cấp trong chứng chỉ được kiểm tra đối kèo bóng đá euro tên người dùng hoặc ánh xạ áp dụng.

Cách tiếp cận thứ hai kết hợp bất kỳ phương thức xác thực nào chohostsslMục nhập kèo bóng đá euro việc xác minh chứng chỉ máy khách bằng cách đặtclientCertTùy chọn xác thực thànhXác minh-CAhoặcxác minh-đầy đủ. Tùy chọn trước chỉ thực thi rằng kèo bóng đá euro chỉ là hợp lệ, trong khi cái sau cũng đảm bảo rằngCN(tên chung) trong chứng chỉ khớp kèo bóng đá euro tên người dùng hoặc ánh xạ áp dụng.

Bảng 19.2Tóm tắt các tệp có liên quan đến thiết lập kèo bóng đá euro trên máy chủ. (Tên tệp được hiển thị là tên mặc định. Các tên được cấu hình cục bộ có thể khác nhau.)

Máy chủ đọc các tệp này khi khởi động máy chủ và bất cứ khi nào cấu hình máy chủ được tải lại. TRÊNWindows24681_24785

24795_25022WindowsHệ thống, nếu một lỗi trong các tệp này được phát hiện khi bắt đầu phụ trợ, phần phụ trợ đó sẽ không thể thiết lập kết nối kèo bóng đá euro. Trong tất cả các trường hợp này, điều kiện lỗi được báo cáo trong nhật ký máy chủ.

Để tạo kèo bóng đá euro chỉ tự ký đơn giản cho máy chủ, có giá trị trong 365 ngày, sử dụng những điều sau sauOpenSSLlệnh, thay thếdbhost.yourdomain.comkèo bóng đá euro tên máy chủ của máy chủ:

25776_25875dbhost.yourdomain.com"

Sau đó, làm:

Chmod OG-RWX Server.key

Vì máy chủ sẽ từ chối tệp nếu quyền của nó tự do hơn thế này. Để biết thêm chi tiết về cách tạo khóa và kèo bóng đá euro chỉ riêng của máy chủ của bạn, hãy tham khảoOpenSSLTài liệu.

Trong khi kèo bóng đá euro chỉ tự ký có thể được sử dụng để kiểm tra, kèo bóng đá euro chỉ được ký bởi cơ quan kèo bóng đá euro chỉ (CA) (thường là gốc toàn doanh nghiệpCA) nên được sử dụng trong sản xuất.

Để tạo kèo bóng đá euro chỉ máy chủ có danh tính có thể được xác thực bởi các máy khách, trước tiên hãy tạo yêu cầu ký kèo bóng đá euro chỉ (CSR) và tệp khóa công khai/riêng tư:

openSSL req -new -nodes -text -out root.csr \
  -keyout root.key -subj "/cn =root.yourdomain.com"
chmod og-rwx root.key

Sau đó, hãy ký vào yêu cầu bằng khóa để tạo thẩm quyền kèo bóng đá euro chỉ gốc (sử dụng mặc địnhOpenSSLvị trí tệp cấu hình trênLinux):

OpenSSL X509 -req -in root.csr -text -way 3650 \
  -EXTFILE /ETC/kèo bóng đá euro/openssl.cnf -Extensions v3_ca \
  -SignKey root.key -out root.crt

Cuối cùng, hãy tạo kèo bóng đá euro chỉ máy chủ được ký bởi Cơ quan kèo bóng đá euro chỉ gốc mới:

openSSL req -new -nodes -text -out server.csr \
  -keyout server.key -subj "/cn =dbhost.yourdomain.com"
Chmod OG-RWX Server.Key

OpenSSL X509 -Req -in server.csr -text -way 365 \
  -Ca root.crt -cakey root.key -cacreateserial \
  -out server.crt

server.crtvàserver.keynên được lưu trữ trên máy chủ vàroot.crtnên được lưu trữ trên máy khách để máy khách có thể xác minh rằng kèo bóng đá euro chỉ lá của máy chủ đã được ký bởi kèo bóng đá euro chỉ gốc đáng tin cậy.root.keynên được lưu trữ ngoại tuyến để sử dụng để tạo kèo bóng đá euro chỉ trong tương lai.

Cũng có thể tạo một chuỗi niềm tin bao gồm các kèo bóng đá euro chỉ trung gian:

# Root
openSSL req -new -nodes -text -out root.csr \
  -keyout root.key -subj "/cn =root.yourdomain.com"
Chmod OG-RWX Root.Key
OpenSSL X509 -req -in root.csr -Text -ways 3650 \
  -EXTFILE /ETC/kèo bóng đá euro/openssl.cnf -Extensions v3_ca \
  -signkey root.key -out root.crt

# trung cấp
openSSL req -new -nodes -text -out idmediate.csr \
  -Keyout trung gian.key -subj "/cn =trung gian.yourdomain.com"
Chmod OG-RWX trung gian.KEY
OpenSSL X509 -Req -in idmediate.csr -text -ways 1825 \
  -EXTFILE /ETC/kèo bóng đá euro/openssl.cnf -Extensions v3_ca \
  -Ca root.crt -cakey root.key -cacreateserial \
  -Out trung gian.crt

# lá cây
openSSL req -new -nodes -text -out server.csr \
  -keyout server.key -subj "/cn =dbhost.yourdomain.com"
Chmod OG-RWX Server.Key
OpenSSL X509 -Req -in server.csr -text -way 365 \
  -Ca trung gian.crt -cakey trung gian.key -cacreateserial \
  -out server.crt

server.crtvàtrung gian.crtnên được kèo bóng đá euro thành gói tệp chứng chỉ và được lưu trữ trên máy chủ.server.keycũng nên được lưu trữ trên máy chủ.root.crtnên được lưu trữ trên máy khách để máy khách có thể xác minh rằng chứng chỉ lá của máy chủ đã được ký bởi một chuỗi các chứng chỉ được liên kết kèo bóng đá euro chứng chỉ gốc đáng tin cậy của nó.root.keyvàtrung gian.keynên được lưu trữ ngoại tuyến để sử dụng để tạo kèo bóng đá euro chỉ trong tương lai.