| PostgreSQL 9.2.24 문서 | ||||
|---|---|---|---|---|
| 503 메이저 토토 사이트 페치 실패 | 위로 | 17장. 서버 설정 및 운영 | 다음 | |
PostgreSQL기본 지원 있음 사용을 위해SSL롤 토토 대상 보안 강화를 위해 클라이언트/서버 통신을 암호화합니다. 이 그것을 요구합니다오픈SSL이다 클라이언트와 서버 시스템 모두에 설치되어 있으며 다음을 지원합니다.포스트그레SQL빌드 시 활성화됨 시간 (참조15장).
함께SSL지원 컴파일됨 에,포스트그레SQL서버는 다음으로 시작됨SSL에 의해 활성화됨 매개변수 설정ssl에켜짐에postgresql.conf. 서버는 일반 및SSL동일한 TCP 포트의 롤 토토 및 사용 여부에 대해 롤 토토 클라이언트와 협상합니다SSL. 기본적으로 이 위치는 고객의 선택; 참조섹션 19.1다음을 사용해야 하는 서버를 설정하는 방법에 대해SSL일부 또는 전체에 대해 롤 토토.
PostgreSQL읽는다 시스템 전체OpenSSL구성 파일. 기본적으로 이 파일의 이름은openssl.cnf그리고 디렉토리에 위치합니다 보고자:openssl 버전 -d. 이 환경 변수를 설정하여 기본값을 재정의할 수 있습니다.OPENSSL_CONF원하는 이름으로 구성 파일.
오픈SSL광범위한 지원 다양한 강도의 암호 및 인증 알고리즘. 암호 목록은 다음에서 지정할 수 있습니다.오픈SSL구성 파일에 다음을 지정할 수 있습니다. 수정하여 데이터베이스 서버에서 특별히 사용하기 위한 암호ssl_ciphers에postgresql.conf.
참고:없이 인증이 가능합니다 다음을 사용하여 암호화 오버헤드NULL-SHA또는NULL-MD5암호. 그러나 중간자도 읽고 통과할 수 있습니다. 클라이언트와 서버 간의 통신. 또한 암호화 오버헤드에 비해 오버헤드가 최소화됩니다. 인증. 이러한 이유로 NULL 암호는 허용되지 않습니다. 추천합니다.
시작하려면SSL모드, 파일 서버 롤 토토와 개인 키가 포함된 롤 토토가 있어야 합니다. 작성자: 기본적으로 이러한 파일의 이름은 다음과 같습니다.서버.crt그리고서버.키, 각각 서버의 데이터 디렉토리이지만 다른 이름과 위치는 다음을 사용하여 지정할 수 있습니다. 구성 매개변수ssl_cert_file그리고ssl_key_file. Unix 시스템에서는 다음에 대한 권한이 있습니다.서버.키세계에 대한 접근을 허용하지 않아야 합니다. 그룹; 다음 명령으로 이를 달성합니다.chmod 0600 서버.키. 개인키가 보호되어 있는 경우 암호를 입력하면 서버에서 암호를 묻는 메시지를 표시하고 입력될 때까지 시작하지 마십시오.
어떤 경우에는 서버 롤 토토가 다음으로 서명될 수 있습니다."중급"인증 기관, 고객이 직접 신뢰하는 것이 아니라 그런 것을 사용하려면 롤 토토에 서명 기관의 롤 토토를 첨부하세요.서버.crt파일, 그 다음 상위 파일 기관의 롤 토토 등 최대 a"루트"클라이언트가 신뢰하는 권한입니다. 루트 롤 토토는 다음과 같은 모든 경우에 포함되어야 합니다.서버.crt하나 이상 포함 롤 토토.
클라이언트가 신뢰할 수 있는 롤 토토를 제공하도록 요구하려면 인증 기관의 롤 토토(캘리포니아s) 파일을 신뢰합니다.루트.crt데이터 디렉토리에서 매개변수ssl_ca_file에postgresql.conf에루트.crt, 그리고를 설정합니다.클라이언트롤 토토해당 매개변수를 1로 설정hostssl행pg_hba.conf. 그러면 롤 토토가 SSL 연결 시작 중에 클라이언트에서 요청되었습니다. (참조토토 사이트 추천 : 문서 : 9.2 : SSL 지원설명 클라이언트에서 롤 토토를 설정하는 방법.) 서버는 클라이언트의 롤 토토가 다음 중 하나에 의해 서명되었는지 확인하십시오. 신뢰할 수 있는 인증 기관. 롤 토토 해지 목록 (CRL) 항목은 매개변수인 경우에도 확인됩니다.ssl_crl_file설정되었습니다. (참조http://h71000.www7.hp.com/doc/83final/ba554_90007/ch04s02.htmlSSL 롤 토토 사용을 보여주는 다이어그램.)
그클라이언트롤 토토옵션 포함pg_hba.conf모든 인증에 사용 가능 메소드(다음과 같이 지정된 행에만 해당)hostssl. 언제클라이언트롤 토토이 지정되지 않았거나 0으로 설정되었습니다. 서버는 제시된 클라이언트 롤 토토를 계속 확인합니다. 해당 CA 목록이 구성되어 있는 경우 — 주장하지는 않습니다. 클라이언트 롤 토토가 제시되어야 합니다.
참고루트.crt목록을 나열합니다 클라이언트 서명을 위해 신뢰할 수 있는 것으로 간주되는 최상위 CA 롤 토토. 원칙적으로 서명한 CA를 나열할 필요는 없습니다. 서버의 롤 토토이지만 대부분의 경우 CA는 클라이언트 롤 토토에 대해서도 신뢰할 수 있습니다.
클라이언트 롤 토토를 설정하는 경우 다음을 수행할 수 있습니다. 사용하다롤 토토인증 방법이므로 롤 토토는 사용자 인증뿐만 아니라 연결 보안을 제공합니다. 참조섹션 19.3.10용 세부사항.
표 17-3다음의 SSL 설정과 관련된 파일을 요약합니다. 서버. (표시된 파일 이름은 기본 또는 일반 이름입니다. 로컬로 구성된 이름은 다를 수 있습니다.)
표 17-3. SSL 서버 파일 사용
| 파일 | 목차 | 효과 |
|---|---|---|
| ssl_cert_file ($PGDATA/서버.crt) | 서버 롤 토토 | 서버의 신원을 나타내기 위해 클라이언트로 전송됨 |
| ssl_key_file ($PGDATA/server.key) | 서버 개인 키 | 서버 롤 토토가 소유자에 의해 전송되었음을 증명합니다. 롤 토토 소유자를 신뢰할 수 있음을 나타내지 않습니다. |
| ssl_ca_file ($PGDATA/root.crt) | 신뢰할 수 있는 인증 기관 | 클라이언트 롤 토토가 다음 사람에 의해 서명되었는지 확인합니다. 신뢰할 수 있는 인증 기관 |
| ssl_crl_file ($PGDATA/root.crl) | 롤 토토에 의해 롤 토토가 취소되었습니다. 당국 | 클라이언트 롤 토토가 이 목록에 있어서는 안 됩니다 |
파일서버.키, 서버.crt, 루트.crt, 그리고root.crl(또는 구성됨 대체 이름)은 서버 시작 중에만 검사됩니다. 그래서 변경 사항을 적용하려면 서버를 다시 시작해야 합니다. 효과.
서버에 대한 빠른 자체 서명 롤 토토를 생성하려면, 다음을 사용하세요오픈SSL명령:
openssl req -new -text -out server.req
다음 정보를 입력하세요.openssl요청합니다. 반드시 입력하세요. 로컬 호스트 이름은 다음과 같습니다."일반 이름"; 챌린지 비밀번호는 비워둘 수 있습니다. 프로그램은 암호로 보호된 키를 생성합니다. 그것은 받아들이지 않을 것이다 4자 미만의 암호 문구입니다. 제거하려면 암호(자동 시작을 원하는 경우 필수) 서버), 다음 명령을 실행하세요.
openssl rsa -in privkey.pem -out server.key rm privkey.pem
기존 키를 잠금 해제하려면 이전 암호를 입력하세요. 지금 할 일:
openssl req -x509 -in server.req -text -key server.key -out server.crt
롤 토토를 자체 서명된 롤 토토로 변환하고 서버가 볼 위치에 키와 롤 토토를 복사하려면 그들을 위해. 마지막으로 다음을 수행하십시오.
chmod og-rwx server.key
왜냐하면 서버는 권한이 있는 경우 파일을 거부하기 때문입니다 이것보다 더 자유롭습니다. 만드는 방법에 대한 자세한 내용은 서버 개인 키와 롤 토토는 다음을 참조하세요.오픈SSL문서.
자체 서명된 롤 토토를 테스트에 사용할 수 있지만 인증 기관이 서명한 롤 토토(캘리포니아) (전역 중 하나CA또는 로컬)은 클라이언트가 서버의 내용을 확인할 수 있도록 프로덕션에서 사용됩니다. 정체성. 모든 클라이언트가 조직의 로컬인 경우 로컬 사용캘리포니아이다 추천합니다.