| PostgreSQL 9.0.23 Tài liệu | ||||
|---|---|---|---|---|
| Prev | UP | Chương 17. Thiết lập máy chủ và hoạt động | Tiếp theo | |
PostgreSQLcó hỗ trợ bản địa để sử dụngPostgreSQL:Kết kèo chấp bóng đá hôm nay đến Mã hóa giao tiếp máy khách/máy chủ để tăng bảo mật. Cái này yêu cầu điều đóOpenSSLIS được cài đặt trên cả hệ thống máy khách và máy chủ và hỗ trợ đó trongPostgreSQLđược bật tại Build Thời gian (xemChương 15).
kèo chấp bóng đá hôm naySSLHỗ trợ biên soạn trong, ThePostgreSQLMáy chủ có thể bắt đầu kèo chấp bóng đá hôm naySSLđược bật bởi Đặt tham sốSSLđếntrêninPostgreSql.conf. Máy chủ sẽ lắng nghe cả bình thường vàSSLKết nối trên cùng một cổng TCP và sẽ thương lượng kèo chấp bóng đá hôm nay bất kỳ khách hàng kết nối nào về việc có sử dụngSSL12132_12186Phần 19.1Giới thiệu về cách thiết lập máy chủ để yêu cầu sử dụngSSLĐối kèo chấp bóng đá hôm nay một số hoặc tất cả kết nối.
PostgreSQLĐọc toàn hệ thốngOpenSSLTệp cấu hình. Theo mặc định, tệp này được đặt tênopenSSL.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Cái này Mặc định có thể được ghi đè bằng cách đặt biến môi trườngopenSSL_confkèo chấp bóng đá hôm nay tên của mong muốn Tệp cấu hình.
OpenSSL12862_13002OpenSSLTệp cấu hình, bạn có thể chỉ định CIPHERS Đặc biệt để sử dụng bởi máy chủ cơ sở dữ liệu bằng cách sửa đổiSSL_CIPHERSinPostgreSql.conf.
Lưu ý:Có thể có xác thực mà không cần Chi phí mã hóa bằng cách sử dụngnull-shahoặcNULL-MD5mật mã. Tuy nhiên, một người đàn ông trong trung gian có thể đọc và vượt qua Giao tiếp giữa máy khách và máy chủ. Ngoài ra, mã hóa Chi phí là tối thiểu so kèo chấp bóng đá hôm nay chi phí của xác thực. Vì những lý do này, null mật mã không khuyến khích.
Để bắt đầu trongSSLchế độ, The Tệpserver.crtvàserver.key13959_14128server.keyphải không cho phép mọi quyền truy cập vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 Server.key. Nếu khóa riêng là Được bảo vệ bằng cụm mật khẩu, máy chủ sẽ nhắc cho Cụm mật khẩu và sẽ không bắt đầu cho đến khi nó được nhập.
Trong một số trường hợp, chứng chỉ máy chủ có thể được ký bởi"Trung cấp"Cơ quan chứng chỉ, thay vì một người được khách hàng tin cậy trực tiếp. Để sử dụng như vậy một chứng chỉ, kèo chấp bóng đá hôm nay thêm giấy chứng nhận của cơ quan ký vào Theserver.crtTệp, sau đó là cha mẹ của nó Chứng chỉ của Cơ quan, v.v. lên đến"Root"Cơ quan được khách hàng tin tưởng. Chứng chỉ gốc phải được bao gồm trong mọi trường hợp trong đóserver.crt14992_15032
Để yêu cầu khách hàng cung cấp chứng chỉ đáng tin cậy, địa điểm Giấy chứng nhận của cơ quan chứng chỉ (CAs) bạn tin tưởng vào tệproot.crtTrong thư mục dữ liệu và đặtclientCerttham số đến1Trên thích hợphostssldòng trongpg_hba.conf. Một chứng chỉ sau đó sẽ là được yêu cầu từ máy khách trong quá trình khởi động kết kèo chấp bóng đá hôm nay SSL. (Nhìn thấyPhần 31,17Để biết mô tả về cách thiết lập chứng chỉ trên máy khách.) Máy chủ sẽ xác minh rằng chứng chỉ của khách hàng được ký bởi một trong những Cơ quan chứng chỉ đáng tin cậy. Danh sách thu hồi chứng chỉ (CRL) entries are also checked if the fileroot.crltồn tại. (Nhìn thấy16207_16271Đối kèo chấp bóng đá hôm nay các sơ đồ hiển thị việc sử dụng chứng chỉ SSL.)
TheclientCertTùy chọn trongpg_hba.confCó sẵn cho tất cả các xác thực các phương thức, nhưng chỉ cho các hàng được chỉ định làhostssl. KhiclientCertkhông được chỉ định hoặc được đặt thành0, máy chủ vẫn sẽ xác minh Trình bày chứng chỉ máy khách đối kèo chấp bóng đá hôm nayroot.crtNếu tệp đó tồn tại - nhưng nó sẽ không nhấn mạnh rằng chứng chỉ máy khách được trình bày.
Lưu ý rằngroot.crtLiệt kê CAS cấp cao nhất được coi là đáng tin cậy cho việc ký hợp đồng kèo chấp bóng đá hôm nay khách hàng Giấy chứng nhận. Về nguyên tắc, nó không cần liệt kê CA đã ký chứng chỉ của máy chủ, mặc dù trong hầu hết các trường hợp CA sẽ Cũng được tin tưởng cho chứng chỉ máy khách.
Nếu bạn đang thiết lập chứng chỉ máy khách, bạn có thể muốn sử dụngcertPhương pháp xác thực, vì vậy rằng chứng chỉ kiểm soát xác thực người dùng cũng như Cung cấp bảo mật kết kèo chấp bóng đá hôm nay. Nhìn thấyPhần 19.3.9cho chi tiết.
Các tệpserver.key, server.crt, root.crt,, Vàroot.crlchỉ được kiểm tra trong khi Máy chủ bắt đầu; Vì vậy, bạn phải khởi động lại máy chủ cho các thay đổi trong họ có hiệu lực.
Bảng 17-3. Sử dụng tệp máy chủ SSL
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| server.crt | Chứng chỉ máy chủ | Đã gửi đến máy khách để cho biết danh tính của máy chủ |
| server.key | Phím tư nhân máy chủ | Chứng chỉ máy chủ được gửi bởi chủ sở hữu; không cho biết chủ sở hữu chứng chỉ là đáng tin cậy |
| root.crt | Cơ quan chứng chỉ đáng tin cậy | 18938_19027 |
| root.crl | Giấy chứng nhận bị thu hồi bởi chứng chỉ Nhà chức trách | Chứng chỉ máy khách không được có trong danh sách này |
Để tạo chứng chỉ tự ký nhanh cho máy chủ, Sử dụng các điều sauOpenSSLlệnh:
openSSL req -new -text -out server.req
Điền vào thông tinOpenSSLyêu cầu. Đảm bảo bạn nhập Tên máy chủ cục bộ là"Tên chung"; Mật khẩu thử thách có thể được để trống. Chương trình sẽ Tạo một khóa là cụm mật khẩu được bảo vệ; nó sẽ không kèo chấp bóng đá hôm nay nhận Một cụm mật khẩu dài ít hơn bốn ký tự. Để loại bỏ cụm mật khẩu (như bạn phải nếu bạn muốn tự động khởi động máy chủ), chạy các lệnh:
RM Privey.pem
Nhập cụm mật khẩu cũ để mở khóa khóa hiện có. Hiện kèo chấp bóng đá hôm nay LÀM:
20425_20499
Để biến chứng chỉ thành chứng chỉ tự ký và để sao chép khóa và chứng chỉ vào nơi máy chủ sẽ nhìn cho họ. Cuối cùng làm:
Chmod OG-RWX Server.key
Vì máy chủ sẽ từ chối tệp nếu quyền của nó tự do hơn thế này. Để biết thêm chi tiết về cách tạo Chứng chỉ và khóa riêng của máy chủ của bạn, tham khảoOpenSSLTài liệu.
có thể sử dụng chứng chỉ tự ký để kiểm tra, nhưng a Giấy chứng nhận có chữ ký của cơ quan chứng chỉ (CA) (một trong những người toàn cầuCAShoặc một địa phương) nên được sử dụng trong sản xuất để khách hàng có thể xác minh máy chủ danh tính. Nếu tất cả các khách hàng là địa phương của tổ chức, sử dụng một địa phươngCAIS khuyến khích.