Scenariusz: uwierzytelnianie serwera PostgreSQL

Rozwiń wszystko | Zwiń wszystko

Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Użyj certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.

Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.

Wykonaj poniższe kroki, aby skonfigurować uwierzytelnianie SSL dla PostgreSQL:

  1. Wygeneruj certyfikat dla serwera PostgreSQL.

    W wieloplatformowym narzędziu opartym na OpenSSL wykonaj następujące polecenia:

    openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

    chmod og-rwx psql.key

  2. Wygeneruj certyfikat dla Serwera administracyjnego.

    Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.

    openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

    chmod og-rwx postgres.key

  3. Skonfiguruj uwierzytelnianie certyfikatu klienta.

    Zmodyfikuj plik pg_hba.conf w następujący sposób:

    hostssl all all 0.0.0.0/0 md5

    Upewnij się, że plik pg_hba.conf nie zawiera rekordu rozpoczynającego się od host.

  4. Określ certyfikat PostgreSQL.

    Jednokierunkowe uwierzytelnianie SSL

    Dwukierunkowe uwierzytelnianie SSL

  5. Uruchom ponownie demona PostgreSQL.

    Uruchom następujące polecenie:

    systemctl restart postgresql-14.service

  6. Określ flagę serwera dla Serwera administracyjnego.

    Jednokierunkowe uwierzytelnianie SSL

    Dwukierunkowe uwierzytelnianie SSL

  7. Uruchom ponownie usługę Serwera administracyjnego.
Przejdź do góry