Scénario : Authentification du serveur PostgreSQL

Nous vous recommandons d'utiliser un certificat TLS pour authentifier le serveur PostgreSQL. Vous pouvez utiliser un certificat d'une autorité de certification de confiance ou un certificat auto-signé. Utiliser un certificat provenant d'une autorité de certification de confiance, car un certificat auto-signé n'offre qu'une protection limitée.

Le Serveur d'administration prend en charge l'authentification SSL unidirectionnelle et bidirectionnelle pour PostgreSQL.

Suivez ces étapes pour configurer l'authentification SSL pour PostgreSQL :

Générez un certificat pour le serveur PostgreSQL.
Dans un utilitaire multiplateforme basé sur OpenSSL, exécutez les commandes suivantes :

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Générez un certificat pour le Serveur d'administration.
Exécutez les commande suivantes. La valeur CN doit correspondre au nom de l'utilisateur qui se connecte à PostgreSQL au nom du Serveur d'administration. Le nom d'utilisateur est défini sur postgres par défaut.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configurez l'authentification du certificat client.
Modifiez pg_hba.conf comme suit :

hostssl all all 0.0.0.0/0 md5

Assurez-vous que pg_hba.conf n'inclut pas d'enregistrement commençant par host.
Spécifiez le certificat PostgreSQL.
Authentification SSL unidirectionnelle

Modifiez postgresql.conf comme suit (spécifiez le chemin correct vers les fichiers .crt et .key) :

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Authentification SSL bidirectionnelle

Modifiez postgresql.conf comme suit (spécifiez le chemin correct vers les fichiers .crt et .key) :

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Redémarrez PostgreSQL daemon.
Exécutez la commande suivante :

systemctl restart postgresql-14.service
Spécifiez l'indicateur de serveur pour le Serveur d'administration.
Authentification SSL unidirectionnelle

Utilisez l'utilitaire klsclag pour créer l'indicateur de serveur KLSRV_POSTGRES_OPT_SSL_CA et indiquez le chemin d'accès au certificat comme valeur.

Exécutez l'invite de commande Windows en utilisant les droits d'administrateur, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le dossier dans lequel le Serveur d'administration est installé. Chemin d'installation par défaut est <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Exécutez la commande suivante :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <chemin vers psql.crt> -t s

Authentification SSL bidirectionnelle

Utilisez l'utilitaire klscflag pour créer les indicateurs de serveur et indiquez le chemin d'accès aux fichiers de certificat comme valeur.

Exécutez l'invite de commande Windows en utilisant les droits d'administrateur, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le dossier dans lequel le Serveur d'administration est installé. Chemin d'installation par défaut est <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Exécutez les commande suivantes :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <chemin vers psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <chemin vers postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <chemin vers postgres.key> -t s

Si postgres.key requiert une phrase secrète, créez un indicateur KLSRV_POSTGRES_OPT_TLS_PASPHRASE et indiquez la phrase secrète comme valeur :

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <phrase secrète> -t s
Relancez le service du Serveur d'administration.

Haut de page