| Postgresql 9.3.25 Tài liệu | ||||
|---|---|---|---|---|
| prev | UP | Chương 17. tỷ lệ kèo bóng đá tối nay chủ Thiết lập và hoạt động | Tiếp theo | |
PostgreSQL11025_11057PostgreSQL: Tài liệu:tỷ lệ kèo bóng đá tối nay đến Mã hóa giao tiếp máy khách/máy chủ để tăng bảo mật. Cái này yêu cầu điều đóOpenSSLđược cài đặt trên cả hệ thống tỷ lệ kèo bóng đá tối nay khách và tỷ lệ kèo bóng đá tối nay chủ và hỗ trợ đó trongPostgreSQLđược bật tại thời điểm xây dựng (xemChương 15).
tỷ lệ kèo bóng đá tối naytỷ lệ kèo bóng đá tối nayHỗ trợ được biên dịch, ThePostgreSQLMáy chủ có thể bắt đầu tỷ lệ kèo bóng đá tối naytỷ lệ kèo bóng đá tối nayđược bật bởi Đặt tham sốtỷ lệ kèo bóng đá tối nayđếntrêninPostgreSql.conf. Các tỷ lệ kèo bóng đá tối nay chủ sẽ lắng nghe cả bình thường vàtỷ lệ kèo bóng đá tối nayKết nối trên cùng một cổng TCP và sẽ thương lượng tỷ lệ kèo bóng đá tối nay bất kỳ khách hàng kết nối nào về việc có sử dụngtỷ lệ kèo bóng đá tối nay. Theo mặc định, đây là tùy chọn của khách hàng; nhìn thấyPhần 19.1Về cách thiết lập tỷ lệ kèo bóng đá tối nay chủ để yêu cầu sử dụngtỷ lệ kèo bóng đá tối nayĐối tỷ lệ kèo bóng đá tối nay một số hoặc tất cả kết nối.
PostgreSQLĐọc toàn hệ thốngOpenSSL12320_12374openSSL.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Cái này Mặc định có thể được ghi đè bằng cách đặt biến môi trườngopenSSL_conftỷ lệ kèo bóng đá tối nay tên của mong muốn Tệp cấu hình.
OpenSSLHỗ trợ phạm vi rộng của mật mã và thuật toán xác thực, có sức mạnh khác nhau. Trong khi một danh sách các mật mã có thể được chỉ định trongOpenSSL12868_12972SSL_CIPHERSinPostgreSql.conf.
Lưu ý:Có thể có xác thực mà không cần Chi phí mã hóa bằng cách sử dụngnull-shahoặcNULL-MD5mật mã. Tuy nhiên, a Man-in-the-Middle có thể đọc và truyền thông tin liên lạc giữa khách hàng và máy chủ. Ngoài ra, chi phí mã hóa là tối thiểu so tỷ lệ kèo bóng đá tối nay Chi phí xác thực. Vì những lý do này, null mật mã không khuyến khích.
Để bắt đầu trongtỷ lệ kèo bóng đá tối naychế độ, tệp Chứa chứng chỉ tỷ lệ kèo bóng đá tối nay chủ và khóa riêng phải tồn tại. Qua Mặc định, các tệp này dự kiến sẽ được đặt tênserver.crtvàserver.key13815_13947SSL_CERT_FILEvàSSL_KEY_FILE. Trên các hệ thống UNIX, các quyền trênserver.keyphải không cho phép mọi quyền truy cập vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 server.key. Nếu khóa riêng được bảo vệ bằng cụm mật khẩu, tỷ lệ kèo bóng đá tối nay chủ sẽ nhắc cho cụm mật khẩu và sẽ không bắt đầu cho đến khi nó đã được nhập.
Chứng chỉ đầu tiên trongserver.crtphải là chứng chỉ của máy chủ vì nó phải khớp tỷ lệ kèo bóng đá tối nay máy chủ khóa riêng. Giấy chứng nhận"Trung cấp"Cơ quan chứng chỉ cũng có thể Được thêm vào tập tin. Làm điều này tránh sự cần thiết của việc lưu trữ chứng chỉ trung gian trên khách hàng, giả sử gốc và Chứng chỉ trung gian đã được tạo bằngV3_CATiện ích mở rộng. Điều này cho phép hết hạn dễ dàng hơn Chứng chỉ trung gian.
14966_15019server.crt. Thay vào đó, khách hàng phải có gốc Chứng chỉ Chuỗi chứng chỉ của tỷ lệ kèo bóng đá tối nay chủ.
Để yêu cầu khách hàng cung cấp chứng chỉ đáng tin cậy, địa điểm Chứng chỉ của Cơ quan Chứng chỉ Root (CAs) bạn tin tưởng vào một tệp trong thư mục dữ liệu, Đặt tham sốSSL_CA_FILEinPostgreSql.confđến tên tệp mới và Thêm tùy chọn xác thựcclientCert = 1đến thích hợphostssldòng trongpg_hba.conf. Một chứng chỉ sau đó sẽ là được yêu cầu từ máy khách trong quá trình khởi động kết nối tỷ lệ kèo bóng đá tối nay. (Nhìn thấyPhần 31,18Để biết mô tả về cách thức Để thiết lập chứng chỉ trên tỷ lệ kèo bóng đá tối nay khách.) tỷ lệ kèo bóng đá tối nay chủ sẽ xác minh rằng Giấy chứng nhận của khách hàng được ký bởi một trong những người đáng tin cậy Cơ quan chứng chỉ.
Chứng chỉ trung gian cho đến Root hiện có Chứng chỉ cũng có thể xuất hiện trong tệproot.crtNếu bạn muốn tránh lưu trữ chúng trên khách hàng (giả sử các chứng chỉ gốc và trung gian là được tạo bằngV3_CAPhần mở rộng). Các mục nhập danh sách thu hồi chứng chỉ (CRL) cũng được kiểm tra nếu tham sốSSL_CRL_FILEđược đặt. (Nhìn thấyhttp: //h41379.www4.hpe.com/doc/83final/ba554_90007/ch04s02.htmlĐối tỷ lệ kèo bóng đá tối nay các sơ đồ hiển thị việc sử dụng chứng chỉ SSL.)
TheclientCertTùy chọn trongpg_hba.confCó sẵn cho tất cả các xác thực các phương thức, nhưng chỉ cho các hàng được chỉ định làhostssl. KhiclientCertIS Không được chỉ định hoặc được đặt thành 0, máy chủ vẫn sẽ xác minh Trình bày các chứng chỉ khách hàng so tỷ lệ kèo bóng đá tối nay danh sách CA của nó, nếu một cấu hình, - nhưng nó sẽ không nhấn mạnh rằng chứng chỉ máy khách là được trình bày.
Nếu bạn đang thiết lập chứng chỉ tỷ lệ kèo bóng đá tối nay khách, bạn có thể muốn sử dụng Thecert17341_17466Phần 19.3.10Để biết chi tiết.
Bảng 17-2tóm tắt Các tệp có liên quan đến thiết lập tỷ lệ kèo bóng đá tối nay trên máy chủ. (The Hiển thị tên tệp là tên mặc định hoặc điển hình. Địa phương Tên được cấu hình có thể khác.)
Bảng 17-2. Sử dụng tệp máy chủ tỷ lệ kèo bóng đá tối nay
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| SSL_CERT_FILE($ pgdata/server.crt) | Chứng chỉ tỷ lệ kèo bóng đá tối nay chủ | Đã gửi đến tỷ lệ kèo bóng đá tối nay khách để biểu thị danh tính của tỷ lệ kèo bóng đá tối nay chủ |
| SSL_KEY_FILE(18504_18524) | Phím tư nhân tỷ lệ kèo bóng đá tối nay chủ | chứng minh chứng chỉ tỷ lệ kèo bóng đá tối nay chủ được gửi bởi chủ sở hữu; Không Cho biết chủ sở hữu chứng chỉ là đáng tin cậy |
| SSL_CA_FILE($ pgdata/root.crt) | Cơ quan chứng chỉ đáng tin cậy | Kiểm tra xem chứng chỉ tỷ lệ kèo bóng đá tối nay khách có được ký bởi một người đáng tin cậy Cơ quan chứng chỉ |
| SSL_CRL_FILE($ pgdata/root.crl) | Chứng chỉ bị thu hồi bởi cơ quan chứng chỉ | Chứng chỉ tỷ lệ kèo bóng đá tối nay khách không được có trong danh sách này |
Các tệpserver.key, server.crt, root.crtvàroot.crl(hoặc giải pháp thay thế được cấu hình của chúng Tên) chỉ được kiểm tra trong khi khởi động tỷ lệ kèo bóng đá tối nay chủ; Vì vậy, bạn phải khởi động lại tỷ lệ kèo bóng đá tối nay chủ cho các thay đổi trong chúng có hiệu lực.
Để tạo chứng chỉ tự ký đơn giản cho tỷ lệ kèo bóng đá tối nay chủ, hợp lệ Trong 365 ngày, sử dụng những điều sauOpenSSLlệnh, thay thếdbhost.yourdomain.comtỷ lệ kèo bóng đá tối nay máy chủ của máy chủ tên:
19960_20059dbhost.yourdomain.com"
Sau đó, làm:
Chmod OG-RWX Server.key
Vì tỷ lệ kèo bóng đá tối nay chủ sẽ từ chối tệp nếu quyền của nó là Tự do hơn thế này. Để biết thêm chi tiết về cách tạo tỷ lệ kèo bóng đá tối nay chủ riêng và chứng chỉ, tham khảoOpenSSLTài liệu.
Trong khi chứng chỉ tự ký có thể được sử dụng để kiểm tra, A Giấy chứng nhận có chữ ký của cơ quan chứng chỉ (CA) (thường là gốc toàn doanh nghiệpCA) nên được sử dụng trong sản xuất.
Để tạo chứng chỉ tỷ lệ kèo bóng đá tối nay chủ có danh tính có thể được xác thực bởi khách hàng, trước tiên hãy tạo yêu cầu ký chứng chỉ (CSR) và khóa công khai/riêng tư tài liệu:
openSSL req -new -nodes -text -out root.csr \ -keyout root.key -subj "/cn =root.yourdomain.com" chmod og-rwx root.key
Sau đó, hãy ký vào yêu cầu bằng khóa để tạo chứng chỉ gốc Quyền hạn (sử dụng mặc địnhOpenSSLVị trí tệp cấu hình trênLinux):
OpenSSL X509 -req -in root.csr -text -way 3650 \ -EXTFILE /ETC/tỷ lệ kèo bóng đá tối nay/openssl.cnf -Extensions v3_ca \ -SignKey root.key -out root.crt
Cuối cùng, hãy tạo chứng chỉ tỷ lệ kèo bóng đá tối nay chủ được ký bởi root mới Cơ quan chứng chỉ:
openSSL req -new -nodes -text -out server.csr \ -keyout server.key -subj "/cn =dbhost.yourdomain.com" Chmod OG-RWX Server.Key OpenSSL X509 -Req -in server.csr -text -way 365 \ -Ca root.crt -cakey root.key -cacreateserial \ -out server.crt
server.crtvàserver.keynên được lưu trữ trên tỷ lệ kèo bóng đá tối nay chủ vàroot.crtnên được lưu trữ trên tỷ lệ kèo bóng đá tối nay khách vì vậy khách hàng có thể xác minh rằng chứng chỉ lá của tỷ lệ kèo bóng đá tối nay chủ là được ký bởi chứng chỉ gốc đáng tin cậy.root.keynên được lưu trữ ngoại tuyến để sử dụng trong Tạo chứng chỉ trong tương lai.
cũng có thể tạo một chuỗi niềm tin bao gồm Chứng chỉ trung gian:
# Root openSSL req -new -nodes -text -out root.csr \ -keyout root.key -subj "/cn =root.yourdomain.com22513_22783trung gian.yourdomain.com" Chmod OG-RWX trung gian.KEY OpenSSL X509 -Req -in idmediate.csr -text -ways 1825 \ -EXTFILE /ETC/tỷ lệ kèo bóng đá tối nay/openssl.cnf -Extensions v3_ca \ -Ca root.crt -cakey root.key -cacreateserial \ -Out trung gian.crt # lá cây openSSL req -new -nodes -text -out server.csr \ -keyout server.key -subj "/cn =dbhost.yourdomain.com" Chmod OG-RWX Server.Key OpenSSL X509 -Req -in server.csr -text -way 365 \ -Ca trung gian.crt -cakey trung gian.key -cacreateserial \ -out server.crt
server.crtvàtrung gian.crtnên được nối thành A Gói tệp chứng chỉ và được lưu trữ trên tỷ lệ kèo bóng đá tối nay chủ.server.keycũng nên được lưu trữ trên tỷ lệ kèo bóng đá tối nay chủ.root.crtnên được lưu trữ trên máy khách vì vậy khách hàng có thể xác minh rằng chứng chỉ lá của máy chủ là được ký bởi một chuỗi các chứng chỉ được liên kết tỷ lệ kèo bóng đá tối nay root đáng tin cậy của nó giấy chứng nhận.root.keyvàtrung gian.key23893_23961