Сценарий: PostgreSQL Server серверінің аутентификациясы

Барлығын жаю | Барлығын жию

PostgreSQL серверінің аутентификациясы үшін TLS сертификатын пайдалану ұсынылады. Сенімді сертификаттау орталығының (СА) сертификатын немесе өздігінен қол қойылған сертификатты қолдана аласыз. Сенімді сертификаттау орталығының (CA) сертификатын қолдану ұсынылады, себебі өздігінен қол қойылған сертификат тек шектеулі қорғанысты қамтамасыз етеді.

Басқару сервер PostgreSQL үшін бір жақты және екі жақты SSL аутентификациясына қолдау көрсетеді.

PostgreSQL серверінің аутентификациясы кезең-кезеңімен жүзеге асырылады:

1. PostgreSQL сервері үшін сертификат жасау

   OpenSSL негізіндегі кроссплатформалық утилитада келесі пәрмендерді орындаңыз:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Басқару сервері үшін сертификат жасау

   Келесі пәрмендерді орындаңыз. CN мәні Басқару сервер атынан PostgreSQL-ге қосылатын пайдаланушының атына сәйкес болуы керек. Әдепкі пайдаланушы аты - postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Клиент сертификатының аутентификациясын конфигурациялау

   pg_hba.conf келесідей өзгертіңіз:

   hostssl all all 0.0.0.0/0 md5

   pg_hba.conf ішінде host деп басталатын жазба жоқ екеніне көз жеткізіңіз.

4. PostgreSQL сертификатын көрсету

   Бір жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Екі жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. PostgreSQL демонын қайта іске қосу

   Келесі пәрменді орындаңыз:

   systemctl restart postgresql-14.service

6. Басқару сервері үшін сервер жалаушасын көрсету

   Бір жақты SSL аутентификациясы

   Klscflag утилитасын пайдаланып, KLSRV_POSTGRES_OPT_SSL_CA сервері жалаушасын жасаңыз және оның мәндері ретінде сертификатқа жолды көрсетіңіз:

   Әкімші құқықтары бар Windows пәрмен жолын іске қосыңыз, содан кейін ағымдағы каталогті klscflag утилитасы бар каталогке өзгертіңіз. klscflag утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Келесі пәрменді орындаңыз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <жолы: psql.crt> -t s

   Екі жақты SSL аутентификациясы

   Klscflag утилитасын пайдаланып, сервер жалаушаларын жасаңыз және олардың мәндері ретінде сертификат файлдарына жолды көрсетіңіз.

   Әкімші құқықтары бар Windows пәрмен жолын іске қосыңыз, содан кейін ағымдағы каталогті klscflag утилитасы бар каталогке өзгертіңіз. klscflag утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Келесі пәрмендерді орындаңыз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s

   Егер postgres.key кодты сөйлемді қажет етсе, KLSRV_POSTGRES_OPT_TLS_PASPHRASE жалаушасын жасаңыз және кодты сөйлемді оның мәні ретінде көрсетіңіз:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s

7. Басқару сервері қызметін қайта іске қосу

Басына оралу