| Postgresql 8.4.22 Tài liệu | ||||
|---|---|---|---|---|
| Prev | Backward nhanh | Chương 17. Thiết lập máy chủ và hoạt động | Chuyển tiếp nhanh | Tiếp theo |
PostgreSQLCó hỗ trợ bản địa để sử dụngPostgreSQL: Tài liệu: 8.4:11226_11328OpenSSLIS được cài đặt trên cả hệ thống máy khách và máy chủ và hỗ trợ đó trongPostgreSQLđược bật tại Build Thời gian (xemChương 15).
kèo bóng đá hôm nay và ngày maikèo bóng đá hôm nay và ngày maiHỗ trợ biên soạn trong, ThePostgreSQLMáy chủ có thể bắt đầu kèo bóng đá hôm nay và ngày maikèo bóng đá hôm nay và ngày maiđược bật bởi Đặt tham sốkèo bóng đá hôm nay và ngày maiđếntrêninPostgreSql.conf. Máy chủ sẽ lắng nghe cả tiêu chuẩn vàPostgreSQL: Tài tỷ lệ kèo bóng đá: 8.4: Tệp pg_hba.confkèo bóng đá hôm nay và ngày mai trên cùng một cổng TCP và sẽ thương lượng với bất kỳ khách hàng kèo bóng đá hôm nay và ngày mai nào về việc có sử dụngkèo bóng đá hôm nay và ngày mai. Theo mặc định, đây là tùy chọn của khách hàng; nhìn thấyPhần 19.1Về cách thiết lập máy chủ để yêu cầu sử dụngkèo bóng đá hôm nay và ngày maiĐối với một số hoặc tất cả kèo bóng đá hôm nay và ngày mai.
PostgreSQLĐọc toàn hệ thốngOpenSSLTệp cấu hình. Theo mặc định, tệp này được đặt tên12576_12589và nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Cái này Mặc định có thể được ghi đè bằng cách đặt biến môi trườngopenSSL_confkèo bóng đá hôm nay và ngày mai tên của mong muốn Tệp cấu hình.
OpenSSLHỗ trợ phạm vi rộng của mật mã và thuật toán xác thực, có sức mạnh khác nhau. Trong khi một danh sách các mật mã có thể được chỉ định trongOpenSSLTệp cấu hình, bạn có thể chỉ định CIPHERS Đặc biệt để sử dụng bởi máy chủ cơ sở dữ liệu bằng cách sửa đổiSSL_CIPHERSinPostgreSql.conf.
Lưu ý:Có thể có xác thực mà không cần Chi phí mã hóa bằng cách sử dụngnull-shahoặcNULL-MD513533_13798
13834_13848kèo bóng đá hôm nay và ngày maiChế độ, The Tệpserver.crtvàserver.keyPhải tồn tại trong dữ liệu của máy chủ Thư mục. Các tệp này phải chứa chứng chỉ máy chủ và Khóa riêng, tương ứng. Trên các hệ thống UNIX, các quyền trênserver.keyphải không cho phép mọi quyền truy cập vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 Server.key. Nếu khóa riêng là Được bảo vệ bằng cụm mật khẩu, máy chủ sẽ nhắc cho Cụm mật khẩu và sẽ không bắt đầu cho đến khi nó được nhập.
Để yêu cầu khách hàng cung cấp chứng chỉ đáng tin cậy, địa điểm Giấy chứng nhận của cơ quan chứng chỉ (CA) Bạn tin tưởng vào tệproot.crtTrong thư mục dữ liệu và đặtclientCerttham số đến1Trên (các) dòng thích hợp trong pg_hba.conf. MỘT Chứng chỉ sau đó sẽ được yêu cầu từ máy khách trong kèo bóng đá hôm nay và ngày mai Kết nối khởi động. (Nhìn thấyPhần 30,17Để biết mô tả về cách thiết lập chứng chỉ trên máy khách.) máy chủ sẽ xác minh rằng máy khách Giấy chứng nhận được ký bởi một trong những chứng chỉ đáng tin cậy Nhà chức trách. Các mục nhập danh sách thu hồi chứng chỉ (CRL) cũng là Đã kiểm tra xem tệproot.crltồn tại. (Nhìn thấyhttp: //h71000.www7.hp.com/doc/83final/BA554_90007/CH04S02.htmlcho các sơ đồ hiển thị việc sử dụng chứng chỉ kèo bóng đá hôm nay và ngày mai.)
TheclientCertTùy chọn trongpg_hba.confCó sẵn cho tất cả các xác thực các phương thức, nhưng chỉ cho các hàng được chỉ định làhostssl. Trừ khi được chỉ định, mặc định không phải là Xác minh chứng chỉ máy khách.
Bạn có thể sử dụng phương thức xác thựccertĐể sử dụng chứng chỉ máy khách cho xác thực người dùng. Nhìn thấyPhần 19.3.8cho chi tiết.
Các tệpserver.key, server.crt, root.crt,, Vàroot.crlchỉ được kiểm tra trong khi Máy chủ bắt đầu; Vì vậy, bạn phải khởi động lại máy chủ cho các thay đổi trong họ có hiệu lực.
Bảng 17-3. Sử dụng tệp máy chủ kèo bóng đá hôm nay và ngày mai
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| server.crt | Chứng chỉ máy chủ | được yêu cầu bởi máy khách |
| server.key | Phím tư nhân máy chủ | chứng minh chứng chỉ máy chủ được gửi bởi chủ sở hữu; Không Cho biết chủ sở hữu chứng chỉ là đáng tin cậy |
| root.crt | Cơ quan chứng chỉ đáng tin cậy | Kiểm tra xem chứng chỉ máy khách có được ký bởi A Cơ quan chứng chỉ đáng tin cậy |
| root.crl | Giấy chứng nhận bị thu hồi bởi chứng chỉ Nhà chức trách | Chứng chỉ máy khách không được có trong danh sách này |
Để tạo chứng chỉ tự ký nhanh cho máy chủ, Sử dụng các điều sauOpenSSLlệnh:
Điền vào thông tinOpenSSLyêu cầu. Đảm bảo bạn nhập Tên máy chủ cục bộ là"Tên chung"; Mật khẩu thử thách có thể được để trống. Chương trình sẽ Tạo một khóa là cụm mật khẩu được bảo vệ; nó sẽ không chấp nhận Một cụm mật khẩu dài ít hơn bốn ký tự. Để loại bỏ cụm mật khẩu (như bạn phải nếu bạn muốn tự động khởi động máy chủ), chạy các lệnh:
RM Privey.pem
Nhập cụm mật khẩu cũ để mở khóa khóa hiện có. Hiện kèo bóng đá hôm nay và ngày mai LÀM:
19113_19187
Để biến chứng chỉ thành chứng chỉ tự ký và để sao chép khóa và chứng chỉ vào nơi máy chủ sẽ nhìn cho họ. Cuối cùng làm:
Chmod OG-RWX Server.key
Vì máy chủ sẽ từ chối tệp nếu quyền của nó tự do hơn thế này. Để biết thêm chi tiết về cách tạo Chứng chỉ và khóa riêng của máy chủ của bạn, tham khảoOpenSSLTài liệu.
Chứng chỉ tự ký có thể được sử dụng để kiểm tra, nhưng A Giấy chứng nhận có chữ ký của cơ quan chứng chỉ (CA) (một trong những người toàn cầuCAShoặc một địa phương) nên được sử dụng trong sản xuất để khách hàng có thể xác minh máy chủ danh tính. Nếu tất cả các khách hàng là địa phương của tổ chức, sử dụng một địa phươngCAIS khuyến khích.