| Postgresql 9.2.24 문서화 | ||||
|---|---|---|---|---|
| 503 메이저 토토 사이트 페치 실패 | up | 17 장. 서버 설정 및 작동 | 다음 | |
postgresql기본 지원이 있습니다 사용을 위해SSL롤 토토 보안 증가를 위해 클라이언트/서버 통신을 암호화합니다. 이것 필요OpenSSLIS 클라이언트 및 서버 시스템에 설치 및 해당 지원PostgreSQL빌드에서 활성화되었습니다 시간 (참조15 장).
withSSL지원 컴파일 에서PostgreSQL서버가 될 수 있습니다 시작SSL매개 변수 설정SSLtooninpostgresql.conf. 서버는 정상과를 모두 듣습니다.SSL동일한 TCP 포트의 롤 토토 및 사용 여부에 대해 롤 토토 클라이언트와 협상 할 것입니다SSL. 기본적으로 이것은 있습니다 고객의 선택; 보다섹션 19.1사용이 필요한 서버를 설정하는 방법에 대해SSL일부 또는 전부 사이.
postgresql읽습니다 시스템 전체OpenSSL구성 파일. 기본적 으로이 파일은입니다.OpenSSL.CNF그리고 디렉토리에 있습니다 보고OpenSSL 버전 -D. 이것 환경 변수를 설정하여 기본값을 재정의 할 수 있습니다OpenSSL_CONF원하는 이름으로 구성 파일.
OpenSSL광범위한 범위를 지원합니다 암호 및 인증 알고리즘, 다양한 강도. 암호 목록은에 지정할 수 있습니다.OpenSSL구성 파일, 지정할 수 있습니다 수정하여 데이터베이스 서버에서 사용하기 위해 특별히 암호SSL_CIPHERSinpostgresql.conf.
참고 :없이 인증을받을 수 있습니다 사용하여 암호화 오버 헤드Null-Sha또는NULL-MD5암호. 그러나 중간에 사람이 읽고 지나갈 수있었습니다 클라이언트와 서버 간의 통신. 또한 암호화 오버 헤드는 오버 헤드에 비해 최소입니다 입증. 이러한 이유로 널 암호는 그렇지 않습니다 추천.
시작하려면SSL모드, 파일 서버 롤 토토와 개인 키가 포함되어 있어야합니다. 에 의해 기본값,이 파일은 명명 될 것으로 예상Server.crtandServer.key13952_14088ssl_cert_fileandssl_key_file. UNIX 시스템에서 권한이Server.key세계에 대한 접근을 허용하지 않아야합니다 그룹; 명령으로 이것을 달성CHMOD 0600 Server.key. 개인 키가 a로 보호되는 경우 패스 프레이즈, 서버는 암호를 자랑하고 입력 될 때까지 시작하지 마십시오.
경우에 따라 서버 롤 토토에 서명 할 수 있습니다"중간"인증 기관, 고객이 직접 신뢰하는 것이 아니라. 그러한 사용 롤 토토, 서명 당국의 증명서를 그만큼Server.crt파일, 부모 권한의 롤 토토 등까지"루트"고객이 신뢰하는 권한. 루트 롤 토토는 모든 경우에 포함되어야합니다.Server.crt둘 이상을 포함합니다 자격증.
고객이 신뢰할 수있는 롤 토토를 제공하도록 요구하고, 롤 토토 롤 토토 (CAs) 파일을 신뢰root.crt데이터 디렉토리에서 매개 변수SSL_CA_FILEinpostgresql.conftoroot.crtClientCert적절한의 매개 변수 1hostssl라인 inPG_HBA.conf. 그러면 인증서가 될 것입니다 SSL 연결 시작 중 클라이언트로부터 요청했습니다. (보다토토 사이트 추천 : 문서 : 9.2 : SSL 지원설명 클라이언트에서 롤 토토를 설정하는 방법.) 서버는 클라이언트의 롤 토토가 신뢰할 수있는 롤 토토 당국. 롤 토토 취소 목록 (CRL) 항목도 매개 변수를 확인합니다.SSL_CRL_FILE가 설정되었습니다. (보다http : //h71000.www7.hp.com/doc/83final/ba554_90007/ch04s02.htmlSSL 인증서 사용을 보여주는 다이어그램의 경우)
theClientCert옵션pg_hba.conf모든 인증에 사용할 수 있습니다 방법, 그러나로 지정된 줄에 대해서만hostssl. 언제ClientCert지정되지 않았거나 0으로 설정되어 있습니다 서버는 여전히 제시된 클라이언트 인증서를 확인합니다 CA 목록이 구성된 경우 - 그러나 클라이언트 인증서가 제시됩니다.
참고root.crt클라이언트 서명에 신뢰할 수있는 최상위 CAS 인증서. 원칙적으로 서명 된 CA를 나열 할 필요는 없습니다. 대부분의 경우 CA가 고객 인증서에도 신뢰하십시오.
클라이언트 롤 토토를 설정하는 경우 원하는 경우 사용cert인증 방법 인증서는 사용자 인증뿐만 아니라 롤 토토 보안 제공. 보다섹션 19.3.10세부.
표 17-3섬기는 사람. (표시된 파일 이름은 기본 또는 일반 이름입니다. 로컬로 구성된 이름은 다를 수 있습니다.)
표 17-3. SSL 서버 파일 사용
| 파일 | 내용 | 효과 |
|---|---|---|
| SSL_CERT_FILE($ pgdata/server.crt) | 서버 롤 토토 | 서버의 ID를 표시하기 위해 클라이언트에게 전송 |
| ssl_key_file($ pgdata/server.key) | 서버 개인 키 | 서버 롤 토토가 소유자가 전송했음을 증명합니다. 인증서 소유자가 신뢰할 수 있음을 나타내지 않습니다 |
| SSL_CA_FILE($ pgdata/root.crt) | 신뢰할 수있는 롤 토토 당국 | 클라이언트 롤 토토가 서명되었는지 확인하십시오 신뢰할 수있는 롤 토토 |
| SSL_CRL_FILE($ pgdata/root.crl) | 롤 토토에 의해 취소 된 롤 토토 당국 | 클라이언트 롤 토토는이 목록에 있어야합니다 |
파일Server.key, Server.crt, root.crt, 그리고root.crl(또는 해당 구성 대체 이름)은 서버 시작 중에 만 검사됩니다. 그래서 변경 사항을 변경하려면 서버를 다시 시작해야합니다. 효과.
서버에 대한 빠른 서명 인증서를 만들려면 다음을 사용하십시오OpenSSL명령 :
OpenSSL REQ -New -text -out Server.Req
정보 작성OpenSSL당신이 입력했는지 확인하십시오 로컬 호스트 이름 as"공통 이름"; 챌린지 암호는 비워 둘 수 있습니다. 프로그램은 할 것입니다 암호 보호 된 키를 생성합니다. 받아들이지 않을 것입니다 4 자 미만의 암호화. 제거하려면 패스 프레이즈 (자동 시작을 원할 경우 필요한대로 서버), 명령 실행 :
OpenSSL rsa -in privkey.pem -out server.key rm privkey.pem
기존 키를 잠금 해제하려면 이전 암호를 입력하십시오. 지금 하다:
OpenSSL REQ -X509 -in Server.Req -Text -Key Server.Key -out Server.crt
롤 토토를 자체 서명 된 롤 토토로 바꾸려면 키와 롤 토토를 서버가 보이는 위치에 복사하려면 그들을 위해. 마침내 :
CHMOD OG-RWX Server.key
권한이 있으면 서버가 파일을 거부하기 때문에 이것보다 더 자유 롭습니다. 만드는 방법에 대한 자세한 내용은 서버 비공개 키 및 인증서는를 참조하십시오.OpenSSL문서.
자체 서명 롤 토토는 테스트에 사용될 수 있지만 롤 토토에 의해 서명 된 롤 토토 (CA) (글로벌 중 하나cas또는 로컬) 클라이언트가 서버의 신원. 모든 고객이 조직에 현지인이라면 로컬 사용CAIS 추천.