Escenario: autenticación del servidor PostgreSQL

Le recomendamos que utilice un certificado TLS para autenticar el servidor PostgreSQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado. Use certificados emitidos por una AC confiable, ya que los autofirmados brindan un nivel de protección limitado.

El Servidor de administración admite autenticación SSL unidireccional y bidireccional para PostgreSQL.

La autenticación del servidor PostgreSQL se realiza por etapas:

Generar un certificado para el servidor PostgreSQL
En una utilidad multiplataforma basada en OpenSSL, ejecute los siguientes comandos:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Generar un certificado para el Servidor de administración
Ejecute los siguientes comandos. El valor CN debe coincidir con el nombre del usuario que se conecta a PostgreSQL en nombre del Servidor de administración. El nombre de usuario está configurado en postgres de manera predeterminada.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configurar la autenticación del certificado del cliente
Modifique pg_hba.conf de la siguiente manera:

hostssl all all 0.0.0.0/0 md5

Asegúrese de que pg_hba.conf no incluya un registro que comience con host.
Especificar el certificado del servidor PostgreSQL
Autenticación SSL unidireccional

Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Autenticación SSL bidireccional

Modifique postgresql.conf de la siguiente manera (especifique la ruta correcta a los archivos .crt y .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Reiniciar el servicio en segundo plano PostgreSQL
Ejecute el siguiente comando:

systemctl restart postgresql-14.service
Especificar el indicador de servidor para el Servidor de administración
Autenticación SSL unidireccional

Use la utilidad klscflag para crear el indicador del servidor KLSRV_POSTGRES_OPT_SSL_CA y especifique la ruta al certificado como su valor:

Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.

Ejecute el siguiente comando:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

Autenticación SSL bidireccional

Use la utilidad klscflag para crear indicadores del servidor y especifique la ruta a los archivos de certificados como sus valores.

Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.

Ejecute el siguiente comando:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <ruta a psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <ruta a postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <ruta a postgres.key> -t s

Si postgres.key requiere una frase de contraseña, cree un indicador KLSRV_POSTGRES_OPT_TLS_PASPHRASE y especifique la frase de contraseña como su valor:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <frase de contraseña> -t s
Reiniciar el servicio del Servidor de administración

Principio de la página