postgresql기본 지원이 있습니다 사용을 위해SSL토토 꽁 머니 보안 증가를 위해 클라이언트/서버 통신을 암호화합니다. 이것 필요OpenSSLIS 클라이언트 및 서버 시스템에 설치 및 해당 지원postgresql빌드에서 활성화되었습니다 시간 (참조14 장).
withSSL지원 컴파일 에서PostgreSQL서버가 될 수 있습니다 시작SSL매개 변수 설정SSLtooninpostgresql.conf. 시작할 때SSL모드, the 서버는 파일을 찾습니다Server.keyandServer.crt데이터 디렉토리에서 서버 개인 키와 인증서를 각각 포함하십시오. 이 파일은 전에 올바르게 설정해야합니다.SSL-가능 서버가 시작될 수 있습니다. 개인이라면 키는 암호로 보호되며 서버는 암호는 입력 될 때까지 시작되지 않습니다.
서버는 표준과 모두에 대해 듣습니다.SSL동일한 TCP 포트의 토토 꽁 머니 및 사용 여부에 대해 토토 꽁 머니 클라이언트와 협상 할 것입니다SSL. 기본적으로 이것은 있습니다 고객의 선택; 보다섹션 20.1사용해야 할 서버를 설정하는 방법SSL일부 또는 모든 토토 꽁 머니의 경우
서버 개인 키 생성 방법에 대한 자세한 내용은 인증서, 참조OpenSSL문서. 자체 서명 인증서는 테스트에 사용될 수 있지만 서명 된 인증서는 인증 기관 (CA) (세계 중 하나cas또는 로컬)) 클라이언트가 할 수 있도록 생산에 사용해야합니다. 서버의 신원을 확인하십시오. 빠른 자체 서명을 만듭니다 인증서, 다음을 사용OpenSSL명령 :
OpenSSL REQ -New -text -out Server.Req
정보 작성OpenSSL로컬 호스트 이름으로를 입력해야합니다."공통 이름"; 도전 비밀번호 비워 둘 수 있습니다. 이 프로그램은 키를 생성합니다 패스 프레이즈 보호; 그것은 암호를 받아들이지 않을 것입니다 4 자 미만. (당신과 같이) 암호를 제거합니다 서버의 자동 시작을 원한다면 명령
OpenSSL rsa -in privkey.pem -out server.key rm privkey.pem
기존 키를 잠금 해제하려면 이전 암호를 입력하십시오. 지금 하다
OpenSSL REQ -X509 -in Server.Req -Text -Key Server.Key -out Server.crt chmod og-rwx server.key
인증서를 자체 서명 인증서로 전환하고 키와 인증서를 서버가 찾는 위치에 복사하십시오. 그들을.
클라이언트 인증서 확인이 필요한 경우 증명서CA(들) 당신 파일에서 확인하고 싶습니다root.crt데이터 디렉토리에서. 현재의 경우 고객 인증서가있을 것입니다 SSL 연결 시작 중에 클라이언트에게 요청 에있는 인증서 중 하나에 서명했을 것입니다.root.crt.
언제root.crt파일은 아닙니다 현재, 고객 인증서는 요청하거나 확인되지 않습니다. ~ 안에 이 모드에서 SSL은 커뮤니케이션 보안을 제공하지만 그렇지 않습니다 입증.
파일Server.key, Server.crt및root.crt서버 시작 중에 만 검사됩니다. 따라서 서버를 다시 시작하려면 변경해야합니다. 효과.