| PostgreSQL: kèo chấp bóng đá hôm nay liệu: 9.4: PostgreSQL | |||
|---|---|---|---|
| prev | UP | Chương 17. Thiết lập và vận hành máy chủ | Tiếp theo |
PostgreSQLCó hỗ trợ gốc để sử dụngkèo bóng đá c1: Tài liệu: 9.4: Cài đặt từ mãkèo bóng đá hôm nay và ngày mai để mã hóa giao tiếp máy khách/máy chủ để tăng bảo mật. Điều này yêu cầu rằngOpenSSLđược cài đặt trên cả hệ thống máy khách và máy chủ và hỗ trợ trongPostgreSQLđược bật tại thời điểm xây dựng (xemChương 15).
kèo bóng đá hôm nay và ngày maikèo bóng đá hôm nay và ngày maiHỗ trợ biên dịch trong,PostgreSQLMáy chủ có thể được bắt đầu bằngkèo bóng đá hôm nay và ngày maiđược bật bằng cách đặt tham sốkèo bóng đá hôm nay và ngày maiđếntrêninPostgreSql.conf. Máy chủ sẽ lắng nghe cả bình thường vàPostgreSQL: Tài tỷ lệ kèo kèo bóng đá hôm nay và ngày mai đáKết nối trên cùng một cổng TCP và sẽ thương lượng kèo bóng đá hôm nay và ngày mai bất kỳ máy khách kết nối nào về việc có sử dụngkèo bóng đá hôm nay và ngày mai. Theo mặc định, đây là tùy chọn của khách hàng; nhìn thấyPhần 19.1Giới thiệu về cách thiết lập máy chủ để yêu cầu sử dụngkèo bóng đá hôm nay và ngày maiĐối kèo bóng đá hôm nay và ngày mai một số hoặc tất cả các kết nối.
PostgreSQLĐọc toàn hệ thốngOpenSSL12311_12365openSSL.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D. Mặc định này có thể được ghi đè bằng cách đặt biến môi trườngopenSSL_confkèo bóng đá hôm nay và ngày mai tên của tệp cấu hình mong muốn.
OpenSSLHỗ trợ một loạt các mật mã và thuật toán xác thực, có sức mạnh khác nhau. Trong khi một danh sách các mật mã có thể được chỉ định trongOpenSSLTệp cấu hình, bạn có thể chỉ định các mật mã cụ thể để sử dụng máy chủ cơ sở dữ liệu bằng cách sửa đổiSSL_CIPHERSin13056_13073.
Lưu ý:Có thể có xác thực mà không cần mã hóa chi phí bằng cách sử dụngnull-shahoặcNULL-MD5mật mã. Tuy nhiên, một người đàn ông có thể đọc và truyền thông tin liên lạc giữa máy khách và máy chủ. Ngoài ra, chi phí mã hóa là tối thiểu so kèo bóng đá hôm nay và ngày mai chi phí xác thực. Vì những lý do này không được khuyến khích.
Để bắt đầu trongkèo bóng đá hôm nay và ngày maiMODE, các tệp chứa chứng chỉ máy chủ và khóa riêng phải tồn tại. Theo mặc định, các tệp này dự kiến sẽ được đặt tênserver.crtvàserver.key, tương ứng, trong thư mục dữ liệu của máy chủ, nhưng các tên và vị trí khác có thể được chỉ định bằng các tham số cấu hìnhSSL_CERT_FILEvàSSL_KEY_FILE. Trên các hệ thống UNIX, các quyền trênserver.keyphải không cho phép mọi quyền truy cập kèo bóng đá hôm nay và ngày maio thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 Server.key14279_14421
Chứng chỉ đầu tiên trongserver.crtphải là chứng chỉ của máy chủ vì nó phải khớp kèo bóng đá hôm nay và ngày mai khóa riêng của máy chủ. Giấy chứng nhận"Trung cấp"Cơ quan chứng chỉ cũng có thể được thêm kèo bóng đá hôm nay và ngày maio tệp. Làm điều này tránh sự cần thiết của việc lưu trữ chứng chỉ trung gian trên máy khách, giả sử các chứng chỉ gốc và trung gian đã được tạo bằng14857_14864Tiện ích mở rộng. Điều này cho phép hết hạn các chứng chỉ trung gian dễ dàng hơn.
Không cần thiết phải thêm chứng chỉ gốc kèo bóng đá hôm nay và ngày maioserver.crt. Thay kèo bóng đá hôm nay và ngày maio đó, khách hàng phải có chứng chỉ gốc của chuỗi chứng chỉ của máy chủ.
Để yêu cầu khách hàng cung cấp chứng chỉ đáng tin cậy, đặt chứng chỉ của cơ quan chứng chỉ gốc (CAs) bạn tin tưởng kèo bóng đá hôm nay và ngày maio một tệp trong thư mục dữ liệu, đặt tham sốSSL_CA_FILEinPostgreSql.confkèo bóng đá hôm nay và ngày maio tên tệp mới và thêm tùy chọn xác thựcclientCert = 1đến thích hợphostssldòng trongpg_hba.conf. Một chứng chỉ sau đó sẽ được yêu cầu từ máy khách trong khi khởi động kết nối kèo bóng đá hôm nay và ngày mai. (Nhìn thấyPhần 31,1815927_16103
Chứng chỉ trung gian chuỗi lên đến chứng chỉ gốc hiện tại cũng có thể xuất hiện trong tệproot.crtNếu bạn muốn tránh lưu trữ chúng trên máy khách (giả sử các chứng chỉ gốc và trung gian được tạo bằngV3_CAPhần mở rộng). Các mục nhập Danh sách thu hồi chứng chỉ (CRL) cũng được kiểm tra nếu tham sốSSL_CRL_FILEđược đặt. (Nhìn thấy16650_16715Đối kèo bóng đá hôm nay và ngày mai các sơ đồ hiển thị việc sử dụng chứng chỉ SSL.)
TheclientCertTùy chọn trongpg_hba.confCó sẵn cho tất cả các phương thức xác thực, nhưng chỉ cho các hàng được chỉ định làhostssl. KhiclientCertKhông được chỉ định hoặc được đặt thành 0, máy chủ vẫn sẽ xác minh chứng chỉ máy khách được trình bày theo danh sách CA của nó, nếu một người được cấu hình, nhưng nó sẽ không nhấn mạnh rằng chứng chỉ máy khách được trình bày.
Nếu bạn đang thiết lập chứng chỉ máy khách, bạn có thể muốn sử dụngcertPhương thức xác thực, để chứng chỉ kiểm soát xác thực người dùng cũng như cung cấp bảo mật kèo bóng đá hôm nay và ngày mai. Nhìn thấyPhần 19.3.9Để biết chi tiết.
Bảng 17-2Tóm tắt các tệp có liên quan đến thiết lập kèo bóng đá hôm nay và ngày mai trên máy chủ. (Tên tệp được hiển thị là tên mặc định hoặc điển hình. Các tên được cấu hình cục bộ có thể khác nhau.)
Bảng 17-2. Sử dụng tệp máy chủ kèo bóng đá hôm nay và ngày mai
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| SSL_CERT_FILE($ pgdata/server.crt) | Chứng chỉ máy chủ | Đã gửi đến máy khách để cho biết danh tính của máy chủ |
| SSL_KEY_FILE($ pgdata/server.key) | Phím tư nhân máy chủ | chứng minh chứng chỉ máy chủ được gửi bởi chủ sở hữu; không cho biết chủ sở hữu chứng chỉ là đáng tin cậy |
| SSL_CA_FILE($ pgdata/root.crt) | Cơ quan chứng chỉ đáng tin cậy | Kiểm tra xem chứng chỉ máy khách có được ký bởi cơ quan chứng chỉ đáng tin cậy |
| SSL_CRL_FILE($ pgdata/root.crl) | Chứng chỉ bị thu hồi bởi cơ quan chứng chỉ | Chứng chỉ máy khách không được có trong danh sách này |
Các tệpserver.key, server.crt, root.crtvàroot.crl19344_19492
Để tạo chứng chỉ tự ký đơn giản cho máy chủ, có giá trị trong 365 ngày, sử dụng những điều sau sauOpenSSLlệnh, thay thếdbhost.yourdomain.comkèo bóng đá hôm nay và ngày mai tên máy chủ của máy chủ:
19919_20017dbhost.yourdomain.com"
Sau đó, làm:
Chmod OG-RWX Server.key
20153_20330OpenSSLTài liệu.
Trong khi chứng chỉ tự ký có thể được sử dụng để kiểm tra, chứng chỉ được ký bởi cơ quan chứng chỉ (CA) (thường là gốc toàn doanh nghiệpCA) nên được sử dụng trong sản xuất.
Để tạo chứng chỉ máy chủ có danh tính có thể được xác thực bởi các máy khách, trước tiên hãy tạo yêu cầu ký chứng chỉ (CSR) và tệp khóa công khai/riêng tư:
openSSL req -new -nodes -text -out root.csr \ -keyout root.key -subj "/cn =20970_20991" chmod og-rwx root.key
Sau đó, hãy ký kèo bóng đá hôm nay và ngày maio yêu cầu bằng khóa để tạo thẩm quyền chứng chỉ gốc (sử dụng mặc địnhOpenSSLVị trí tệp cấu hình trênLinux):
-EXTFILE /ETC/kèo bóng đá hôm nay và ngày mai/openssl.cnf -Extensions v3_ca \ -SignKey root.key -out root.crt
Cuối cùng, hãy tạo chứng chỉ máy chủ được ký bởi Cơ quan chứng chỉ gốc mới:
-keyout server.key -subj "/cn =dbhost.yourdomain.com" Chmod OG-RWX Server.Key OpenSSL X509 -Req -in server.csr -text -way 365 \ -Ca root.crt -cakey root.key -cacreateserial \ -out server.crt
server.crtvàserver.keynên được lưu trữ trên máy chủ vàroot.crtnên được lưu trữ trên máy khách để máy khách có thể xác minh rằng chứng chỉ lá của máy chủ đã được ký bởi chứng chỉ gốc đáng tin cậy.root.keynên được lưu trữ ngoại tuyến để sử dụng để tạo chứng chỉ trong tương lai.
Cũng có thể tạo một chuỗi niềm tin bao gồm các chứng chỉ trung gian:
# Root openSSL req -new -nodes -text -out root.csr \ -keyout root.key -subj "/cn =root.yourdomain.com" Chmod OG-RWX Root.Key OpenSSL X509 -req -in root.csr -Text -ways 3650 \ -EXTFILE /ETC/kèo bóng đá hôm nay và ngày mai/openssl.cnf -Extensions v3_ca \ -signkey root.key -out root.crt # trung cấp openSSL req -new -nodes -text -out idmediate.csr \ -Keyout trung gian.key -subj "/cn =trung gian.yourdomain.com" Chmod OG-RWX trung gian.KEY OpenSSL X509 -Req -in idmediate.csr -text -ways 1825 \ -EXTFILE /ETC/kèo bóng đá hôm nay và ngày mai/openssl.cnf -Extensions v3_ca \ -Ca root.crt -cakey root.key -cacreateserial \ -Out trung gian.crt # lá cây openSSL req -new -nodes -text -out server.csr \ -keyout server.key -subj "/cn =dbhost.yourdomain.com" Chmod OG-RWX Server.Key OpenSSL X509 -Req -in server.csr -text -way 365 \ -Ca trung gian.crt -cakey trung gian.key -cacreateserial \ -out server.crt
server.crtvàtrung gian.crtnên được nối kèo bóng đá hôm nay và ngày maio gói tệp chứng chỉ và được lưu trữ trên máy chủ.server.keycũng nên được lưu trữ trên máy chủ.root.crtnên được lưu trữ trên máy khách để máy khách có thể xác minh rằng chứng chỉ lá của máy chủ đã được ký bởi một chuỗi các chứng chỉ được liên kết kèo bóng đá hôm nay và ngày mai chứng chỉ gốc đáng tin cậy của nó.root.keyvàtrung gian.keynên được lưu trữ ngoại tuyến để sử dụng trong việc tạo chứng chỉ trong tương lai.