Scenario: autenticazione del server PostgreSQL

Si consiglia di utilizzare un certificato TLS per autenticare il server PostgreSQL. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. Utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato fornisce solo una protezione limitata.

Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per PostgreSQL.

Seguire questi passaggi per configurare l'autenticazione SSL per PostgreSQL:

Generare un certificato per il server PostgreSQL.
In un'utilità multipiattaforma basata su OpenSSL, eseguire i seguenti comandi:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Generare un certificato per Administration Server.
Eseguire i seguenti comandi. Il valore CN deve corrispondere al nome dell'utente che si connette a PostgreSQL per conto di Administration Server. Il nome utente è impostato su postgres per impostazione predefinita.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configurare l'autenticazione del certificato client.
Modificare pg_hba.conf come segue:

hostssl all all 0.0.0.0/0 md5

Assicurarsi che pg_hba.conf non includa un record che inizia con host.
Specificare il certificato PostgreSQL.
Autenticazione SSL unidirezionale

Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'

Autenticazione SSL bidirezionale

Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

listen_addresses ='localhost, server-ip'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Riavviare il daemon PostgreSQL.
Eseguire il seguente comando:

systemctl restart postgresql-14.service
Specificare il flag del server per Administration Server.
Autenticazione SSL unidirezionale

Utilizzare l'utilità klscflag per creare il contrassegno del server KLSRV_POSTGRES_OPT_SSL_CA e specificare il percorso del certificato come valore.

Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

Eseguire il seguente comando:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <percorso di psql.crt> -t s

Autenticazione SSL bidirezionale

Utilizzare l'utilità klscflag per creare i contrassegni del server e specificare il percorso dei file del certificato come valori.

Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

Eseguire i seguenti comandi:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <percorso di psql.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <percorso di postgres.crt> -t s

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <percorso di postgres.key> -t s

Se postgres.key richiede una passphrase, creare un contrassegno KLSRV_POSTGRES_OPT_TLS_PASPHRASE e specificare la passphrase come valore:

klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <passphrase> -t s
Riavviare il servizio Administration Server.

Inizio pagina