| tỷ lệ kèo bóng đá 9.2.24 Tài liệu | ||||
|---|---|---|---|---|
| prev | UP | Chương 31.libpq- C Thư viện | NEXT | |
tỷ lệ kèo bóng đácó hỗ trợ gốcPostgreSQL: TàKết nối đếnPhần 17.9Để biết chi tiết vềtỷ lệ kèo bóng đáchức năng.
libpqĐọc toàn hệ thốngOpenSSLTệp cấu hình. QuaopenSsl.cnfvà nằm trong thư mục được báo cáo bởiPhiên bản OpenSSL -D. Mặc định này có thể bị ghi đèopenSSL_confvới tên của mong muốn
Theo mặc định,tỷ lệ kèo bóng đáWilltỷ lệ kèo bóng đátỷ lệ kèo bóng đá chỉ
Nếu tham sốSSLModeđược đặt thànhXác minh-CA, libpq sẽ xác minh rằngCA). Nếu nhưSSLModeISxác minh-đầy đủ, libpq sẽcũngXác minh rằngxác minh-đầy đủđược khuyến nghị trong hầu hết
inxác minh-đầy đủMODE, TheCN(tên chung) thuộc tính của tỷ lệ kèo bóng đá chỉ làCNThuộc tính bắt đầu bằng dấu hoa thị (*), nó sẽ được coi là ký tự đại diện và ý chíngoại trừA DOT (.). Điều này có nghĩa là tỷ lệ kèo bóng đá chỉ sẽ không khớp
Để cho phép xác minh tỷ lệ kèo bóng đá chỉ máy chủ, tỷ lệ kèo bóng đá chỉCAs~/.tỷ lệ kèo bóng đá/root.crtTrong nhà của người dùng%appdata%\ tỷ lệ kèo bóng đá \ root.crt.)
Danh sách thu hồi tỷ lệ kèo bóng đá chỉ (CRL) Các mục cũng được kiểm tra~/.tỷ lệ kèo bóng đá/root.crltồn tại (%appdata%\ tỷ lệ kèo bóng đá \ root.crlTrên Microsoft Windows).
Vị trí của tệp tỷ lệ kèo bóng đá chỉ gốc và CRL có thể làSSLROOTCERTvàSSLCRLhoặc các biến môi trườngPGSSLROOTCERTvàPGSSLCRL.
Lưu ý:Để tương thích ngược với trước đóSSLMode=Yêu cầusẽ giống như củaXác minh-CA, có nghĩa là máy chủXác minh-CAhoặcxác minh-đầy đủ.
Nếu máy chủ yêu cầu tỷ lệ kèo bóng đá chỉ máy khách đáng tin cậy,libpqSẽ gửi~/.tỷ lệ kèo bóng đá/tỷ lệ kèo bóng đácrtTrong nhà của người dùngCA)~/.tỷ lệ kèo bóng đá/tỷ lệ kèo bóng đákeycũng phải làChmod 0600 ~/.tỷ lệ kèo bóng đá/tỷ lệ kèo bóng đákey. TRÊN%appdata%\ tỷ lệ kèo bóng đá \ tỷ lệ kèo bóng đácrtvà%appdata%\ tỷ lệ kèo bóng đá \ tỷ lệ kèo bóng đákey,,SSLCERTvàsslkeyhoặcPGSSLCERTvàPGSSLKey.
Trong một số trường hợp, tỷ lệ kèo bóng đá chỉ máy khách có thể được ký bởi"Trung cấp"tỷ lệ kèo bóng đá chỉtỷ lệ kèo bóng đáCRTTệp, sau đó là cha mẹ của nó"Root"Cơ quan được máy chủ tin tưởng.tỷ lệ kèo bóng đáCRTchứa nhiều hơn một
Lưu ý rằngroot.crtLiệt kê
Các giá trị khác nhau choSSLModeTham số cung cấp các cấp độ khác nhau của
Nếu bên thứ ba có thể kiểm tra lưu lượng mạngtỷ lệ kèo bóng đásử dụng mã hóa để ngăn chặn
Nếu bên thứ ba có thể sửa đổi dữ liệu trong khi truyềnNgay cả khi nó được mã hóa.tỷ lệ kèo bóng đáSử dụng xác minh tỷ lệ kèo bóng đá chỉ để
Nếu bên thứ ba có thể giả vờ là người được ủy quyềntỷ lệ kèo bóng đáSử dụng tỷ lệ kèo bóng đá chỉ máy khách để
Để kết nối được biết đến an toàn, việc sử dụng tỷ lệ kèo bóng đá phảiCả haiTrước khi kết nối được thực hiện. Nếu nhưSSLModetham số đếnxác minh-đầy đủhoặcXác minh-CA, và cung cấp cho hệ thống một gốc một gốchttps urlđể duyệt web được mã hóa.
Một khi máy chủ đã được xác thực, máy khách có thể vượt qua
tất cảtỷ lệ kèo bóng đáTùy chọn mang theoBảng 31-1Minh họa các rủi ro khác nhauSSLModeGiá trị bảo vệ chống lại và những gì
Bảng 31-1. Mô tả chế độ tỷ lệ kèo bóng đá
| SSLMode | Bảo vệ không có lỗi | MITMBảo vệ | câu lệnh |
|---|---|---|---|
| vô hiệu hóa | không | Không | Tôi không quan tâm đến bảo mật và tôi không muốn |
| cho phép | có thể | không | Tôi không quan tâm đến bảo mật, nhưng tôi sẽ trả tiền |
| ưa thích | có thể | không | Tôi không quan tâm đến mã hóa, nhưng tôi muốn trả tiền |
| Yêu cầu | Có | Không | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận |
| Xác minh-CA | Có | phụ thuộc vào CA-Policy | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận |
| xác minh-đầy đủ | Có | Có | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận |
Sự khác biệt giữaXác minh-CAvàxác minh-đầy đủphụ thuộc vào chính sáchCA. Nếu một công khaiCAđược sử dụng,Xác minh-CACho phép kết nối với máy chủAi đó khácCó thểCA.xác minh-đầy đủnênCAđược sử dụng, hoặc thậm chí là tự kýXác minh-CAthường xuyên
Giá trị mặc định choSSLModelàưa thích. Như được hiển thị trong bảng, điều này
Bảng 31-2Tóm tắt các tệp có liên quan đến thiết lập tỷ lệ kèo bóng đá trên
Bảng 31-2. LIBPQ/CLIENT tỷ lệ kèo bóng đá sử dụng tệp
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| ~/.tỷ lệ kèo bóng đá/tỷ lệ kèo bóng đácrt | tỷ lệ kèo bóng đá chỉ máy khách | Được yêu cầu bởi máy chủ |
| ~/.tỷ lệ kèo bóng đá/tỷ lệ kèo bóng đákey | khóa riêng của máy khách | tỷ lệ kèo bóng đá minh tỷ lệ kèo bóng đá chỉ khách hàng được gửi bởi chủ sở hữu; Không |
| ~/.tỷ lệ kèo bóng đá/root.crt | Cơ quan tỷ lệ kèo bóng đá chỉ đáng tin cậy | Kiểm tra xem tỷ lệ kèo bóng đá chỉ máy chủ có được ký bởi A |
| ~/.tỷ lệ kèo bóng đá/root.crl | Giấy tỷ lệ kèo bóng đá nhận bị thu hồi bởi tỷ lệ kèo bóng đá chỉ | tỷ lệ kèo bóng đá chỉ máy chủ không được có trong danh sách này |
Nếu ứng dụng của bạn khởi tạolibsslvà/hoặclibcryptoThư viện vàlibpqđược xây dựngtỷ lệ kèo bóng đáHỗ trợ, bạn nênpqinitopensslđể nóilibpqrằngLIBSSSLvà/hoặclibcryptoThư viện đã được ứng dụng của bạn khởi tạo, đểlibpqcũng sẽ không khởi tạohttp: //h71000.www7.hp.com/doc/83final/ba554_90007/ch04.htmlĐể biết chi tiết về API tỷ lệ kèo bóng đá.
pqinitopensslCho phép các ứng dụng chọn thư viện bảo mật nào
26855_26905
KhiDO_SSLlà không khác,libpqSẽ khởi tạoOpenSSLThư việnDO_CRYPTOlà khác không,libcryptoThư viện sẽ đượcpqinitopensslkhông được gọi), cả hai
Nếu ứng dụng của bạn sử dụng và khởi tạoOpenSSLhoặc nólibcryptoThư viện,phảiGọi
pqinitsslCho phép các ứng dụng chọn thư viện bảo mật nào
void pqinitssl (int do_ssl);
Hàm này tương đương vớipqinitopenssl (DO_SSL, DO_SSL). Nó làOpenSSLvàlibcrypto.
pqinitsslđã đượctỷ lệ kèo bóng đá8.0, trong khipqinitopensslĐã được thêm vàotỷ lệ kèo bóng đá8.4, vì vậypqinitsslCó thểlibpq.