Сценарий: PostgreSQL Server серверінің аутентификациясы

PostgreSQL серверінің аутентификациясы үшін TLS сертификатын пайдалану ұсынылады. Сенімді сертификаттау орталығының (СА) сертификатын немесе өздігінен қол қойылған сертификатты қолдана аласыз. Сенімді сертификаттау орталығының (CA) сертификатын қолдану ұсынылады, себебі өздігінен қол қойылған сертификат тек шектеулі қорғанысты қамтамасыз етеді.

Басқару сервер PostgreSQL үшін бір жақты және екі жақты SSL аутентификациясына қолдау көрсетеді.

PostgreSQL бойынша SSL аутентификациясын орнату үшін мына қадамдарды орындаңыз:

PostgreSQL сервері үшін сертификат жасаңыз.
OpenSSL негізіндегі кроссплатформалық утилитада келесі пәрмендерді орындаңыз:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Басқару сервер үшін сертификат жасаңыз.
Келесі пәрмендерді орындаңыз. CN мәні Басқару сервер атынан PostgreSQL-ге қосылатын пайдаланушының атына сәйкес болуы керек. Әдепкі пайдаланушы аты - postgres.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Клиент сертификатының аутентификациясын орнатыңыз.
pg_hba.conf келесідей өзгертіңіз:

hostssl all all 0.0.0.0/0 md5

pg_hba.conf ішінде host деп басталатын жазба жоқ екеніне көз жеткізіңіз.
PostgreSQL сертификатын көрсетіңіз.
Бір жақты SSL аутентификациясы

postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Екі жақты SSL аутентификациясы

postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
PostgreSQL демонын қайта іске қосыңыз.
Келесі пәрменді орындаңыз:

systemctl restart postgresql-14.service
Басқару сервер үшін сервер жалаушасын көрсетіңіз.
Бір жақты SSL аутентификациясы

Klscflag утилитасын пайдаланып, KLSRV_POSTGRES_OPT_SSL_CA сервері жалаушасын жасаңыз және оның мәндері ретінде сертификатқа жолды көрсетіңіз:

Әкімші құқықтары бар Windows пәрмен жолын іске қосыңыз, содан кейін ағымдағы каталогті klscflag утилитасы бар каталогке өзгертіңіз. klscflag утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Келесі пәрменді орындаңыз:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <жолы: psql.crt> -t s

Екі жақты SSL аутентификациясы

Klscflag утилитасын пайдаланып, сервер жалаушаларын жасаңыз және олардың мәндері ретінде сертификат файлдарына жолды көрсетіңіз.

Әкімші құқықтары бар Windows пәрмен жолын іске қосыңыз, содан кейін ағымдағы каталогті klscflag утилитасы бар каталогке өзгертіңіз. klscflag утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Келесі пәрмендерді орындаңыз:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <жолы: psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <жолы: postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <жолы: postgres.key> -t s

Егер postgres.key кодты сөйлемді қажет етсе, KLSRV_POSTGRES_OPT_TLS_PASPHRASE жалаушасын жасаңыз және кодты сөйлемді оның мәні ретінде көрсетіңіз:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <құпиясөз тіркесі> -t s
Басқару сервері қызметін қайта іске қосыңыз.

Басына оралу