| PostgreSQL 9.2.24 Tài liệu | ||||
|---|---|---|---|---|
| Prev | UP | Chương 17. Thiết lập máy chủ và hoạt động | Tiếp theo | |
PostgreSQLcó hỗ trợ bản địa để sử dụngPostgreSQL: Tà11204_11306OpenSSLIS được cài đặt trên cả hệ thống máy khách và máy chủ và hỗ trợ đó trongPostgreSQLđược bật tại Build Thời gian (xemChương 15).
tỷ lệ kèo bóng đátỷ lệ kèo bóng đáHỗ trợ biên soạn trong, ThePostgreSQLMáy chủ có thể bắt đầu tỷ lệ kèo bóng đátỷ lệ kèo bóng đáđược bật bởi Đặt tham sốtỷ lệ kèo bóng đáđếntrêninPostgreSql.conf. Máy chủ sẽ lắng nghe cả bình thường vàPostgreSQL: TàKết nối trên cùng một cổng TCP và sẽ thương lượng tỷ lệ kèo bóng đá bất kỳ khách hàng kết nối nào về việc có sử dụngtỷ lệ kèo bóng đá. Theo mặc định, đây là tùy chọn của khách hàng; nhìn thấyPhần 19.1Giới thiệu về cách thiết lập máy chủ để yêu cầu sử dụngtỷ lệ kèo bóng đáĐối tỷ lệ kèo bóng đá một số hoặc tất cả kết nối.
PostgreSQLĐọc toàn hệ thốngOpenSSL12474_12530openSSL.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Cái này Mặc định có thể được ghi đè bằng cách đặt biến môi trườngopenSSL_conftỷ lệ kèo bóng đá tên của mong muốn Tệp cấu hình.
OpenSSLHỗ trợ phạm vi rộng của mật mã và thuật toán xác thực, có sức mạnh khác nhau. Trong khi một danh sách các mật mã có thể được chỉ định trongOpenSSLTệp cấu hình, bạn có thể chỉ định CIPHERS Đặc biệt để sử dụng bởi máy chủ cơ sở dữ liệu bằng cách sửa đổiSSL_CIPHERSinPostgreSql.conf.
Lưu ý:Có thể có xác thực mà không cần Chi phí mã hóa bằng cách sử dụngnull-shahoặcNULL-MD5mật mã. Tuy nhiên, một người đàn ông trong trung gian có thể đọc và vượt qua Giao tiếp giữa máy khách và máy chủ. Ngoài ra, mã hóa Chi phí là tối thiểu so tỷ lệ kèo bóng đá chi phí của xác thực. Vì những lý do này, null mật mã không khuyến khích.
Để bắt đầu trongtỷ lệ kèo bóng đáchế độ, tệp Chứa chứng chỉ máy chủ và khóa riêng phải tồn tại. Qua Mặc định, các tệp này dự kiến sẽ được đặt tênserver.crtvàserver.key, tương ứng, trong dữ liệu của máy chủ thư mục, nhưng các tên và vị trí khác có thể được chỉ định bằng cách sử dụng tham số cấu hìnhSSL_CERT_FILEvàSSL_KEY_FILE. Trên các hệ thống UNIX, các quyền trênserver.keyphải không cho phép bất kỳ quyền truy cập nào vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 server.key. Nếu khóa riêng được bảo vệ tỷ lệ kèo bóng đá một Cụm mật khẩu, máy chủ sẽ nhắc cho cụm mật khẩu và sẽ không bắt đầu cho đến khi nó được nhập.
Trong một số trường hợp, chứng chỉ máy chủ có thể được ký bởi"Trung cấp"14828_14995server.crtTệp, sau đó là cha mẹ của nó Chứng chỉ của Cơ quan, v.v. lên đến"Root"Cơ quan được khách hàng tin tưởng. Chứng chỉ gốc phải được bao gồm trong mọi trường hợp trong đóserver.crtchứa nhiều hơn một giấy chứng nhận.
Để yêu cầu khách hàng cung cấp chứng chỉ đáng tin cậy, địa điểm Giấy chứng nhận của cơ quan chứng chỉ (15627_15631s) bạn tin tưởng vào tệproot.crtTrong thư mục dữ liệu, đặt tham sốSSL_CA_FILEinPostgreSql.confđếnroot.crt, và đặtclientCerttham số đến 1 trên thích hợphostssldòng trongpg_hba.conf. Một chứng chỉ sau đó sẽ là được yêu cầu từ máy khách trong quá trình khởi động kết nối tỷ lệ kèo bóng đá. (Nhìn thấyPhần 31,18để mô tả về cách thiết lập chứng chỉ trên máy khách.) Máy chủ sẽ xác minh rằng chứng chỉ của khách hàng được ký bởi một trong những Cơ quan chứng chỉ đáng tin cậy. Danh sách thu hồi chứng chỉ (CRL) Các mục cũng được kiểm tra nếu tham sốSSL_CRL_FILEđược đặt. (Nhìn thấy16702_16766Đối tỷ lệ kèo bóng đá các sơ đồ hiển thị việc sử dụng chứng chỉ SSL.)
TheclientCertTùy chọn trongpg_hba.confCó sẵn cho tất cả các xác thực các phương thức, nhưng chỉ cho các hàng được chỉ định làhostssl. KhiclientCertkhông được chỉ định hoặc được đặt thành 0, máy chủ vẫn sẽ xác minh chứng chỉ máy khách được trình bày Danh sách CA của nó, nếu một người được cấu hình, - nhưng nó sẽ không nhấn mạnh rằng chứng chỉ máy khách được trình bày.
Lưu ý rằngroot.crtliệt kê CAS cấp cao nhất được coi là đáng tin cậy cho việc ký hợp đồng tỷ lệ kèo bóng đá khách hàng Giấy chứng nhận. Về nguyên tắc, nó không cần liệt kê CA đã ký chứng chỉ của máy chủ, mặc dù trong hầu hết các trường hợp CA sẽ Cũng được tin tưởng cho chứng chỉ máy khách.
Nếu bạn đang thiết lập chứng chỉ máy khách, bạn có thể muốn sử dụngcertPhương pháp xác thực, vì vậy rằng chứng chỉ kiểm soát xác thực người dùng cũng như Cung cấp bảo mật tỷ lệ kèo bóng đá. Nhìn thấyPhần 19.3.10cho chi tiết.
Bảng 17-3Tóm tắt các tệp có liên quan đến thiết lập tỷ lệ kèo bóng đá trên máy chủ. (Tên tệp được hiển thị là tên mặc định hoặc điển hình. Tên được cấu hình cục bộ có thể khác nhau.)
Bảng 17-3. Sử dụng tệp máy chủ tỷ lệ kèo bóng đá
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| SSL_CERT_FILE($ pgdata/server.crt) | Chứng chỉ máy chủ | Đã gửi cho máy khách để biểu thị danh tính của máy chủ |
| SSL_KEY_FILE($ pgdata/server.key) | Khóa riêng của máy chủ | Chứng chỉ máy chủ được gửi bởi chủ sở hữu; không cho biết chủ sở hữu chứng chỉ là đáng tin cậy |
| SSL_CA_FILE($ pgdata/root.crt) | Cơ quan chứng chỉ đáng tin cậy | Kiểm tra xem chứng chỉ máy khách có được ký bởi A Cơ quan chứng chỉ đáng tin cậy |
| SSL_CRL_FILE($ pgdata/root.crl) | Giấy chứng nhận bị thu hồi bởi chứng chỉ Nhà chức trách | Chứng chỉ máy khách không được có trong danh sách này |
Các tệpserver.key, server.crt, 20286_20296, Vàroot.crl(hoặc cấu hình của chúng Tên thay thế) chỉ được kiểm tra trong khi khởi động máy chủ; Vì thế bạn phải khởi động lại máy chủ để các thay đổi trong chúng để thực hiện tác dụng.
Để tạo chứng chỉ tự ký nhanh cho máy chủ, Sử dụng các điều sauOpenSSLlệnh:
openSSL req -new -text -out server.req
Điền vào thông tinOpenSSLyêu cầu. Đảm bảo bạn nhập Tên máy chủ cục bộ là"Tên chung"; Mật khẩu thử thách có thể được để trống. Chương trình sẽ Tạo một khóa là cụm mật khẩu được bảo vệ; nó sẽ không chấp nhận Một cụm mật khẩu dài ít hơn bốn ký tự. Để loại bỏ cụm mật khẩu (như bạn phải nếu bạn muốn tự động khởi động máy chủ), chạy các lệnh:
RM Privey.pem
Nhập cụm mật khẩu cũ để mở khóa khóa hiện có. Hiện nay LÀM:
21605_21679
Để biến chứng chỉ thành chứng chỉ tự ký và để sao chép khóa và chứng chỉ vào nơi máy chủ sẽ nhìn cho họ. Cuối cùng làm:
Chmod OG-RWX Server.key
21919_22108OpenSSLTài liệu.
có thể sử dụng chứng chỉ tự ký để kiểm tra, nhưng a Giấy chứng nhận có chữ ký của cơ quan chứng chỉ (CA) (một trong những người toàn cầuCAShoặc một địa phương) nên được sử dụng trong sản xuất để khách hàng có thể xác minh máy chủ danh tính. Nếu tất cả các khách hàng là địa phương của tổ chức, sử dụng một địa phươngCAIS khuyến khích.