PostgreSQL기본 지원 있음 사용을 위해SSL토토 대상 보안 강화를 위해 클라이언트/서버 통신을 암호화합니다. 이 그것을 요구합니다오픈SSL이다 클라이언트와 서버 시스템 모두에 설치되어 있으며 다음을 지원합니다.포스트그레SQL빌드 시 활성화됩니다. 시간 (참조14장).
함께SSL지원 컴파일됨 에,포스트그레SQL서버는 다음으로 시작됨SSL에 의해 활성화됨 매개변수 설정ssl에켜짐inpostgresql.conf. 시작하는 경우SSL모드, 서버가 파일을 찾습니다.서버.키그리고서버.crt데이터 디렉토리에 있어야 합니다. 서버 개인 키와 인증서를 각각 포함합니다. 이 파일은 다음 전에 올바르게 설정되어야 합니다.SSL-활성화된 서버를 시작할 수 있습니다. 개인의 경우 키가 암호로 보호되어 있으면 서버에서 다음을 묻는 메시지를 표시합니다. 암호문을 입력해야 시작됩니다.
서버는 표준 및 표준을 모두 수신합니다.SSL동일한 토토 포트의 연결 및 사용 여부에 대해 연결 클라이언트와 협상합니다SSL. 기본적으로 이 위치는 고객의 선택; 참조섹션 20.1다음을 사용해야 하는 서버를 설정하는 방법에 대해SSL일부 또는 전체 토토.
서버 개인 키를 생성하는 방법과 인증서는 다음을 참조하세요.오픈SSL문서. 자체 서명된 테스트에는 인증서를 사용할 수 있지만 인증 기관(캘리포니아) (글로벌 중 하나)CA또는 로컬 항목)을 프로덕션에서 사용해야 클라이언트가 서버의 신원을 확인하십시오. 빠른 자체 서명을 생성하려면 인증서는 다음을 사용하십시오.오픈SSL명령:
openssl req -new -text -out server.req
다음 정보를 입력하세요.openssl요구합니다. 로컬 호스트 이름을 다음과 같이 입력했는지 확인하세요."일반 이름"; 도전 비밀번호 비워 둘 수 있습니다. 프로그램은 다음과 같은 키를 생성합니다. 비밀번호 문구가 보호되었습니다. 다음과 같은 암호 문구는 허용되지 않습니다. 길이는 4자 미만입니다. 암호를 제거하려면(사용자가 서버를 자동으로 시작하려면 필수) 다음을 실행하세요. 명령
openssl rsa -in privkey.pem -out server.key rm privkey.pem
기존 키를 잠금 해제하려면 이전 암호를 입력하세요. 지금 하다
openssl req -x509 -in server.req -text -key server.key -out server.crt chmod og-rwx server.key
인증서를 자체 서명된 인증서로 변환하고 서버가 찾을 위치에 키와 인증서를 복사하십시오. 그들.
클라이언트 인증서 확인이 필요한 경우 의 인증서캘리포니아(들) 당신 파일에서 확인하고 싶습니다.루트.crt데이터 디렉토리에 있습니다. 클라이언트 인증서가 있는 경우 SSL 연결 시작 중에 클라이언트에서 요청했으며 에 있는 인증서 중 하나에 의해 서명되어야 합니다.루트.crt. (참조섹션 29.16방법에 대한 설명 클라이언트 인증서를 설정합니다.) 인증서 해지 목록(CRL) 파일이 있는 경우 항목도 확인됩니다.루트.crl존재합니다.
때루트.crt파일이 아닙니다 현재 클라이언트 인증서는 요청되거나 확인되지 않습니다. 에서 이 모드에서는 SSL이 통신 보안을 제공하지만 그렇지 않습니다. 인증.
파일서버.키, 서버.crt, 루트.crt, 그리고루트.crl다음 동안에만 검사됩니다. 서버 시작; 따라서 변경 사항을 적용하려면 서버를 다시 시작해야 합니다. 적용됩니다.