| PostgreSQL 9.1.24 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.1 : 토토 사이트 추천 옵션 | 위로 | 17장. 서버 설정 및 운영 | 다음 | |
PostgreSQL기본 지원 있음 사용을 위해SSL스포츠 토토 대상 보안 강화를 위해 클라이언트/서버 통신을 암호화합니다. 이 그것을 요구합니다오픈SSL이다 클라이언트와 서버 시스템 모두에 설치되어 있으며 다음을 지원합니다.포스트그레SQL빌드 시 활성화됨 시간 (참조15장).
함께SSL지원 컴파일됨 에,포스트그레SQL서버는 다음으로 시작됨SSL에 의해 활성화됨 매개변수 설정ssl에켜짐에postgresql.conf. 서버는 일반 및SSL동일한 스포츠 토토 포트의 연결 및 사용 여부에 대해 연결 클라이언트와 협상합니다SSL. 기본적으로 이 위치는 고객의 선택; 참조섹션 19.1다음을 사용해야 하는 서버를 설정하는 방법에 대해SSL일부 또는 전체에 대해 스포츠 토토.
PostgreSQL읽는다 시스템 전체오픈SSL구성 파일. 기본적으로 이 파일의 이름은openssl.cnf그리고 디렉토리에 위치합니다 보고자:openssl 버전 -d. 이 환경 변수를 설정하여 기본값을 재정의할 수 있습니다.OPENSSL_CONF원하는 이름으로 구성 파일.
오픈SSL광범위한 지원 다양한 강도의 암호 및 인증 알고리즘. 암호 목록은 다음에서 지정할 수 있습니다.오픈SSL구성 파일에 다음을 지정할 수 있습니다. 수정하여 데이터베이스 서버에서 특별히 사용하기 위한 암호ssl_ciphers에postgresql.conf.
참고:없이 인증이 가능합니다 다음을 사용하여 암호화 오버헤드NULL-SHA또는NULL-MD5암호. 그러나 중간자도 읽고 통과할 수 있습니다. 클라이언트와 서버 간의 통신. 또한 암호화 오버헤드에 비해 오버헤드가 최소화됩니다. 인증. 이러한 이유로 NULL 암호는 허용되지 않습니다. 추천합니다.
시작하려면SSL모드, 파일서버.crt그리고서버.키서버의 데이터에 존재해야 함 디렉토리. 이 파일에는 서버 스포츠 토토와 개인 키입니다. Unix 시스템에서는 다음에 대한 권한이 있습니다.서버.키다음에 대한 모든 액세스를 허용하지 않아야 합니다. 세계 또는 그룹; 다음 명령으로 이를 달성합니다.chmod 0600 서버.키. 개인키가 다음과 같은 경우 암호로 보호된 경우 서버는 암호를 묻는 메시지를 표시합니다. 암호를 입력해야 시작됩니다.
어떤 경우에는 서버 스포츠 토토가 다음에 의해 서명될 수 있습니다."중급"인증 기관, 고객이 직접 신뢰하는 것이 아니라 그런 것을 사용하려면 스포츠 토토에 서명 기관의 스포츠 토토를 첨부하세요.서버.crt파일, 그 다음 상위 파일 기관의 스포츠 토토 등 최대 a"루트"클라이언트가 신뢰하는 권한입니다. 루트 스포츠 토토는 다음과 같은 모든 경우에 포함되어야 합니다.서버.crt하나 이상 포함 스포츠 토토.
클라이언트가 신뢰할 수 있는 스포츠 토토를 제공하도록 요구하려면 인증 기관의 스포츠 토토(캘리포니아s) 파일을 신뢰합니다.루트.crt데이터 디렉토리에, 그리고 다음을 설정하세요.클라이언트스포츠 토토매개변수를 1로 설정 적절한hostssl행pg_hba.conf. 그러면 스포츠 토토가 제공됩니다. SSL 연결 시작 중에 클라이언트에서 요청됩니다. (참조섹션 31.17에 대한 클라이언트에서 스포츠 토토를 설정하는 방법에 대해 설명합니다.) 서버는 클라이언트의 스포츠 토토가 서명되었는지 확인합니다. 신뢰할 수 있는 인증 기관 중 하나입니다. 스포츠 토토 파일이 다음과 같은 경우 해지 목록(CRL) 항목도 확인됩니다.루트.crl존재합니다. (참조http://h71000.www7.hp.com/doc/83final/ba554_90007/ch04s02.htmlSSL 스포츠 토토 사용을 보여주는 다이어그램.)
그클라이언트스포츠 토토옵션 포함pg_hba.conf모든 인증에 사용 가능 메소드(다음과 같이 지정된 행에만 해당)hostssl. 언제클라이언트스포츠 토토이 지정되지 않았거나 0으로 설정되어 있습니다. 서버는 제시된 클라이언트 스포츠 토토를 계속 확인합니다.루트.crt그 파일이 존재한다면 — 하지만 클라이언트 스포츠 토토 제시를 요구하지 않습니다.
참고루트.crt목록을 나열합니다 클라이언트 서명을 위해 신뢰할 수 있는 것으로 간주되는 최상위 CA 스포츠 토토. 원칙적으로 서명한 CA를 나열할 필요는 없습니다. 서버의 스포츠 토토이지만 대부분의 경우 CA는 클라이언트 스포츠 토토에 대해서도 신뢰할 수 있습니다.
클라이언트 스포츠 토토를 설정하는 경우 다음을 수행할 수 있습니다. 사용하다스포츠 토토인증 방법이므로 스포츠 토토는 사용자 인증뿐만 아니라 연결 보안을 제공합니다. 참조섹션 19.3.10용 세부사항.
표 17-3다음의 SSL 설정과 관련된 파일을 요약합니다. 서버.
표 17-3. SSL 서버 파일 사용
| 파일 | 목차 | 효과 |
|---|---|---|
| $PGDATA/서버.crt | 서버 스포츠 토토 | 서버의 신원을 나타내기 위해 클라이언트로 전송됨 |
| $PGDATA/서버.키 | 서버 개인 키 | 서버 스포츠 토토가 소유자에 의해 전송되었음을 증명합니다. 스포츠 토토 소유자를 신뢰할 수 있음을 나타내지 않습니다. |
| $PGDATA/root.crt | 신뢰할 수 있는 인증 기관 | 클라이언트 스포츠 토토가 다음 사람에 의해 서명되었는지 확인합니다. 신뢰할 수 있는 인증 기관 |
| $PGDATA/root.crl | 스포츠 토토에 의해 취소된 스포츠 토토 당국 | 클라이언트 스포츠 토토가 이 목록에 있어서는 안 됩니다 |
파일서버.키, 서버.crt, 루트.crt, 그리고root.crl다음 동안에만 검사됩니다. 서버 시작; 따라서 변경사항을 적용하려면 서버를 다시 시작해야 합니다. 적용됩니다.
서버에 대한 빠른 자체 서명 스포츠 토토를 생성하려면, 다음을 사용하세요오픈SSL명령:
openssl req -new -text -out server.req
다음 정보를 입력하세요.openssl요구합니다. 반드시 입력하세요. 로컬 호스트 이름은 다음과 같습니다."일반 이름"; 챌린지 비밀번호는 비워둘 수 있습니다. 프로그램은 암호로 보호된 키를 생성합니다. 그것은 받아들이지 않을 것이다 4자 미만의 암호 문구입니다. 제거하려면 암호(자동 시작을 원하는 경우 필수) 서버), 다음 명령을 실행하세요.
openssl rsa -in privkey.pem -out server.key rm privkey.pem
기존 키를 잠금 해제하려면 이전 암호를 입력하세요. 지금 할 일:
openssl req -x509 -in server.req -text -key server.key -out server.crt
스포츠 토토를 자체 서명된 스포츠 토토로 변환하고 서버가 볼 위치에 키와 스포츠 토토를 복사하려면 그들을 위해. 마지막으로 다음을 수행하십시오.
chmod og-rwx server.key
왜냐하면 서버는 권한이 있는 경우 파일을 거부하기 때문입니다 이것보다 더 자유롭습니다. 만드는 방법에 대한 자세한 내용은 서버 개인 키와 스포츠 토토는 다음을 참조하세요.오픈SSL문서.
자체 서명된 스포츠 토토를 테스트에 사용할 수 있지만 인증 기관이 서명한 스포츠 토토(캘리포니아) (전역 중 하나CA또는 로컬)은 클라이언트가 서버의 내용을 확인할 수 있도록 프로덕션에서 사용됩니다. 정체성. 모든 클라이언트가 조직의 로컬인 경우 로컬 사용캘리포니아이다 추천합니다.