Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Użyj certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.
Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.
Wykonaj poniższe kroki, aby skonfigurować uwierzytelnianie SSL dla PostgreSQL:
Wygeneruj certyfikat dla serwera PostgreSQL.
W wieloplatformowym narzędziu opartym na OpenSSL wykonaj następujące polecenia:
Wygeneruj certyfikat dla Serwera administracyjnego.
Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.
Użyj narzędzia klscflag, aby utworzyć flagę serwera KLSRV_POSTGRES_OPT_SSL_CA i jako jej wartość określ ścieżkę do certyfikatu.
klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s
Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.
Użyj narzędzia klscflag, aby utworzyć flagi serwera i jako ich wartości określ ścieżkę do plików certyfikatów:
klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <path to psql.crt> -t s
klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <path to postgres.crt> -t s
klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <path to postgres.key> -t s
Jeśli plik postgres.key wymaga hasła, utwórz flagę KLSRV_POSTGRES_OPT_TLS_PASPHRASE i podaj hasło jako jego wartość:
klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s
Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.
Uruchom ponownie usługę Serwera administracyjnego.