| PostgreSQL 9.3.25 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.3 : 롤 토토 옵션 | PostgreSQL : 문서 : 9.3 : 사설 토토 사이트 설정 및 작동 | 17장. 서버 설정 및 작동 | 다음 | |
포스트그레SQL기본 지원 있음 사용을 위해SSL토토 사이트 순위 대상 보안 강화를 위해 클라이언트/서버 통신을 암호화합니다. 이 그것을 요구합니다오픈SSL설치됨 클라이언트와 서버 시스템 모두에서 지원되며포스트그레SQL빌드 시 활성화됩니다(참조제15장).
함께SSL지원 컴파일됨,포스트그레SQL서버는 다음으로 시작됨SSL활성화한 사람 매개변수 설정ssl에켜짐에postgresql.conf. 는 서버는 일반 및SSL동일한 TCP 포트에 토토 사이트 순위되며 사용 여부에 대해 토토 사이트 순위 클라이언트와 협상SSL. 기본적으로 이 위치는 고객의 선택; 참조섹션 19.1다음을 사용해야 하는 서버를 설정하는 방법에 대해SSL일부 또는 전부 토토 사이트 순위.
포스트그레SQL읽는다 시스템 전체오픈SSL구성 파일. 기본적으로 이 파일의 이름은openssl.cnf그리고 디렉토리에 위치합니다 보고자:openssl 버전 -d. 이 환경 변수를 설정하여 기본값을 재정의할 수 있습니다.OPENSSL_CONF원하는 이름으로 구성 파일.
오픈SSL광범위한 지원 다양한 강도의 암호 및 인증 알고리즘. 암호 목록은 다음에서 지정할 수 있습니다.오픈SSL구성 파일에 다음을 지정할 수 있습니다. 수정하여 데이터베이스 서버에서 특별히 사용하기 위한 암호ssl_ciphersinpostgresql.conf.
참고:없이 인증이 가능합니다 다음을 사용하여 암호화 오버헤드NULL-SHA또는NULL-MD5암호. 그러나 중간자(man-in-the-middle)는 클라이언트 간의 통신을 읽고 전달할 수 있습니다. 그리고 서버. 또한 암호화 오버헤드가 암호화에 비해 최소화됩니다. 인증 오버헤드. 이러한 이유로 NULL 암호는 허용되지 않습니다. 추천합니다.
시작하려면SSL모드, 파일 서버 인증서와 개인 키가 포함된 인증서가 있어야 합니다. 작성자: 기본적으로 이러한 파일의 이름은 다음과 같습니다.서버.crt그리고서버.키, 각각 서버의 데이터 디렉토리이지만 다른 이름과 위치는 다음을 사용하여 지정할 수 있습니다. 구성 매개변수ssl_cert_file그리고ssl_key_file. Unix 시스템에서는 다음에 대한 권한이 있습니다.서버.키세계에 대한 접근을 허용하지 않아야 합니다. 그룹; 다음 명령으로 이를 달성합니다.chmod 0600 서버.키. 개인 키가 암호로 보호되어 있는 경우 서버는 암호를 입력하라는 메시지를 표시하고 그 때까지 시작되지 않습니다. 입력되었습니다.
첫 번째 인증서서버.crt서버의 인증서와 일치해야 하므로 서버의 인증서여야 합니다. 개인 키. 의 인증서"중급"인증 기관도 가능합니다. 파일에 첨부됩니다. 이렇게 하면 저장할 필요가 없어집니다. 클라이언트의 중간 인증서(루트 및 중간 인증서는 다음을 사용하여 생성되었습니다.v3_ca확장. 이렇게 하면 만료가 더 쉬워집니다. 중간 인증서.
루트 인증서를 추가할 필요는 없습니다.서버.crt. 대신 클라이언트에는 루트가 있어야 합니다. 서버의 인증서 체인 인증서입니다.
클라이언트가 신뢰할 수 있는 인증서를 제공하도록 요구하려면 루트 인증 기관의 인증서(캘리포니아s) 데이터 디렉토리에 있는 파일을 신뢰합니다. 매개변수 설정ssl_ca_file에postgresql.conf새 파일 이름으로, 그리고 인증 옵션 추가클라이언트인증서=1해당하는 사람에게hostssl행pg_hba.conf. 그러면 인증서가 SSL 연결 시작 중에 클라이언트에서 요청되었습니다. (참조토토 사이트 순위 : 문서 : 9.3 : SSL 지원방법에 대한 설명 클라이언트에 인증서를 설정합니다.) 서버는 다음을 확인합니다. 클라이언트의 인증서는 신뢰할 수 있는 인증서 중 하나에 의해 서명됩니다. 인증 기관.
기존 루트에 토토 사이트 순위되는 중간 인증서 인증서도 파일에 나타날 수 있습니다.루트.crt다음에 저장하지 않으려면 클라이언트(루트 및 중간 인증서가 다음과 같다고 가정) 다음으로 생성됨v3_ca확장). 인증서 해지 목록(CRL) 항목도 확인됩니다. 매개변수ssl_crl_file설정되었습니다. (참조http://h41379.www4.hpe.com/doc/83final/ba554_90007/ch04s02.htmlSSL 인증서 사용을 보여주는 다이어그램.)
그클라이언트인증서옵션 포함pg_hba.conf모든 인증에 사용 가능 메소드(다음과 같이 지정된 행에만 해당)hostssl. 언제클라이언트인증서이다 지정되지 않았거나 0으로 설정되어 있어도 서버는 계속해서 확인합니다. 해당 CA 목록에 대해 클라이언트 인증서를 제시했습니다(있는 경우). 구성됨 — 그러나 클라이언트 인증서를 요구하지는 않습니다. 제시되었습니다.
클라이언트 인증서를 설정하는 경우 다음을 사용할 수 있습니다.인증서인증 방법을 사용하여 인증서는 사용자 인증을 제어하고 다음을 제공합니다. 연결 보안. 참조섹션 19.3.10자세한 내용은.
표 17-2요약합니다 서버의 SSL 설정과 관련된 파일입니다. ( 표시된 파일 이름은 기본 또는 일반 이름입니다. 현지에서 구성된 이름은 다를 수 있습니다.)
표 17-2. SSL 서버 파일 사용
| 파일 | 목차 | 효과 |
|---|---|---|
| ssl_cert_file ($PGDATA/서버.crt) | 서버 인증서 | 서버의 신원을 나타내기 위해 클라이언트로 전송됨 |
| ssl_key_file ($PGDATA/서버.키) | 서버 개인 키 | 서버 인증서가 소유자에 의해 전송되었음을 증명합니다. 그렇지 않다 인증서 소유자가 신뢰할 수 있음을 나타냅니다. |
| ssl_ca_file ($PGDATA/root.crt) | 신뢰할 수 있는 인증 기관 | 클라이언트 인증서가 신뢰할 수 있는 인증서에 의해 서명되었는지 확인합니다. 인증 기관 |
| ssl_crl_file ($PGDATA/root.crl) | 인증 기관에 의해 취소된 인증서 | 클라이언트 인증서가 이 목록에 있어서는 안 됩니다 |
파일서버.키, 서버.crt, 루트.crt및루트.crl(또는 구성된 대안 이름)은 서버 시작 중에만 검사됩니다. 그러니까 다시 시작해야 해 변경 사항이 적용되려면 서버에 문의하세요.
서버에 대한 간단한 자체 서명 인증서를 생성하려면 유효합니다. 365일 동안 다음을 사용하세요오픈SSL명령, 교체dbhost.yourdomain.com서버 호스트와 함께 이름:
openssl req -new -x509 -days 365 -nodes -text -out server.crt \ -keyout server.key -subj "/CN=dbhost.yourdomain.com"
그럼 다음을 수행하세요:
토토 사이트 순위mod og-rwx server.key
서버는 권한이 다음과 같은 경우 파일을 거부하기 때문입니다. 이것보다 더 자유로워요. 생성 방법에 대한 자세한 내용은 서버 개인 키 및 인증서는 다음을 참조하세요.오픈SSL문서.
자체 서명된 인증서를 테스트에 사용할 수 있지만 인증 기관이 서명한 인증서(캘리포니아) (일반적으로 기업 전체 루트캘리포니아)를 사용해야 합니다. 생산.
신원을 확인할 수 있는 서버 인증서를 생성하려면 클라이언트가 먼저 인증서 서명 요청을 만듭니다. (CSR) 및 공개/개인 키 파일:
openssl req -new -nodes -text -out root.csr \ -keyout root.key -subj "/CN=root.yourdomain.com" 토토 사이트 순위mod og-rwx root.key
그런 다음 루트 인증서를 생성하기 위한 키로 요청에 서명하세요. 권한(기본값 사용오픈SSL설정 파일 위치리눅스):
openssl x509 -req -in root.csr -text -days 3650 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -signkey root.key -out root.crt
마지막으로, 새로운 루트에 의해 서명된 서버 인증서를 생성하십시오 인증 기관:
openssl req -new -nodes -text -out server.csr \ -keyout server.key -subj "/CN=dbhost.yourdomain.com" 토토 사이트 순위mod og-rwx server.key openssl x509 -req -in server.csr -text -days 365 \ -CA root.crt -CAkey root.key -CAcreateserial \ -아웃 서버.crt
서버.crt그리고서버.키서버에 저장되어야 하며루트.crt클라이언트에 저장되어야 합니다 클라이언트는 서버의 리프 인증서가 신뢰할 수 있는 루트 인증서로 서명되었습니다.루트.키다음에서 사용하려면 오프라인으로 저장해야 합니다. 미래의 인증서를 생성합니다.
다음을 포함하는 신뢰 체인을 생성하는 것도 가능합니다. 중간 인증서:
# 루트 openssl req -new -nodes -text -out root.csr \ -keyout root.key -subj "/CN=root.yourdomain.com" 토토 사이트 순위mod og-rwx root.key openssl x509 -req -in root.csr -text -days 3650 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -signkey root.key -out root.crt # 중급 openssl req -new -nodes -text -out 중간.csr \ -keyout 중간.키 -subj "/CN=intermediate.yourdomain.com" chmod og-rwx 중간.키 openssl x509 -req -in 중간.csr -text -days 1825 \ -extfile /etc/ssl/openssl.cnf -extensions v3_ca \ -CA root.crt -CAkey root.key -CAcreateserial \ -out 중간.crt #잎 openssl req -new -nodes -text -out server.csr \ -keyout server.key -subj "/CN=dbhost.yourdomain.com" 토토 사이트 순위mod og-rwx server.key openssl x509 -req -in server.csr -text -days 365 \ -CA 중간.crt -CAkey 중간.키 -CAcreateserial \ -아웃 서버.crt
서버.crt그리고중급.crt다음으로 연결되어야 합니다. 인증서 파일 번들로 구성되어 서버에 저장됩니다.서버.키서버에도 저장되어야 합니다.루트.crt클라이언트에 저장되어야 합니다 클라이언트는 서버의 리프 인증서가 신뢰할 수 있는 루트에 연결된 인증서 체인으로 서명됨 인증서.루트.키그리고중급.키사용하려면 오프라인으로 저장해야 함 향후 인증서를 생성할 때.
| 이전 | 배트맨 토토 : 문서 : 9.3 : 배트맨 토토 9.3.25 문서화 | 다음 |
| 암호화 옵션 | PostgreSQL : 문서 : 9.3 : 사설 토토 사이트 설정 및 작동 | 보안 TCP/IP 다음과의 연결SSH터널 |