Escenario: autenticación del servidor PostgreSQL

Le recomendamos que utilice un certificado TLS para autenticar el servidor PostgreSQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado. Use certificados emitidos por una AC confiable, ya que los autofirmados brindan un nivel de protección limitado.

El Servidor de administración admite autenticación SSL unidireccional y bidireccional para PostgreSQL.

Siga estos pasos para configurar la autenticación SSL para PostgreSQL:

Genere un certificado para el servidor PostgreSQL.
En una utilidad multiplataforma basada en OpenSSL, ejecute los siguientes comandos:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Genere un certificado para el Servidor de administración.
Ejecute los siguientes comandos. El valor CN debe coincidir con el nombre del usuario que se conecta a PostgreSQL en nombre del Servidor de administración. El nombre de usuario está configurado en postgres de manera predeterminada.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configure la autenticación del certificado del cliente.
Modifique pg_hba.conf de la siguiente manera:

hostssl all all 0.0.0.0/0 md5

Asegúrese de que pg_hba.conf no incluya un registro que comience con host.
Especifique el certificado PostgreSQL.
Autenticación SSL unidireccional

Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Autenticación SSL bidireccional

Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Reinicie el demonio PostgreSQL.
Ejecute el siguiente comando:

systemctl restart postgresql-14.service
Especifique el indicador del servidor para el Servidor de administración.
Autenticación SSL unidireccional

Use la utilidad klscflag para crear el indicador del servidor KLSRV_POSTGRES_OPT_SSL_CA y especifique la ruta al certificado como su valor:

Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.

Ejecute el siguiente comando:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

Autenticación SSL bidireccional

Use la utilidad klscflag para crear indicadores del servidor y especifique la ruta a los archivos de certificados como sus valores.

Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.

Ejecute el siguiente comando:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <ruta a postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <ruta a postgres.key> -t s

Si postgres.key requiere una frase de contraseña, cree un indicador KLSRV_POSTGRES_OPT_TLS_PASPHRASE y especifique la frase de contraseña como su valor:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <frase de contraseña> -t s
Reinicie el servicio del Servidor de administración.

Principio de página