Cenário: Autenticação do PostgreSQL Server

Expandir tudo | Recolher tudo

Recomendamos usar um certificado TLS para autenticar o servidor PostgreSQL. É possível usar um certificado de uma autoridade de certificação (AC) confiável ou um certificado autoassinado. Use um certificado de uma CA confiável, porque um certificado autoassinado fornece apenas proteção limitada.

O Servidor de Administração é compatível com a autenticação SSL unidirecional e bidirecional para o PostgreSQL.

Siga estas etapas para configurar a autenticação SSL para o PostgreSQL:

1. Gere um certificado para o servidor PostgreSQL.

   Em um utilitário multiplataforma baseado em OpenSSL, execute os seguintes comandos:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Gere um certificado para o Servidor de Administração.

   Execute os seguintes comandos. O valor CN deve corresponder ao nome do usuário que se conecta com o PostgreSQL em nome do Servidor de Administração. O nome de usuário é definido como postgres por padrão.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Configure a autenticação do certificado de cliente.

   Modifique o arquivo pg_hba.conf da seguinte forma:

   hostssl all all 0.0.0.0/0 md5

   Garanta que o arquivo pg_hba.conf não inclua um registro que comece com host.

4. Especifique o certificado PostgreSQL.

   Autenticação SSL unidirecional

   Modifique o arquivo postgresql.conf da seguinte forma (especifique o caminho correto para os arquivos .crt e .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

   Autenticação SSL bidirecional

   Modifique o arquivo postgresql.conf da seguinte forma (especifique o caminho correto para os arquivos .crt e .key):

   listen_addresses ='localhost, server-ip'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. Reinicie o daemon do PostgreSQL.

   Execute o seguinte comando:

   systemctl restart postgresql-14.service

6. Especifique o sinalizador do servidor para o Servidor de Administração.

   Autenticação SSL unidirecional

   Use o utilitário klscflag para criar o sinalizador do servidor KLSRV_POSTGRES_OPT_SSL_CA e especifique o caminho para o certificado como seu valor.

   Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Execute o seguinte comando:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <caminho para psql.crt> -t s

   Autenticação SSL bidirecional

   Use o utilitário klscflag para criar os sinalizadores do servidor e especifique o caminho para os arquivos do certificado como seus valores.

   Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Execute os seguintes comandos:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CA -v <caminho para psql.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_CERT -v <caminho para postgres.crt> -t s

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_SSL_KEY -v <caminho para postgres.key> -t s

   Caso o postgres.key exija uma senha, crie um sinalizador KLSRV_POSTGRES_OPT_TLS_PASPHRASE e especifique a senha como seu valor:

   klscflag -fset -pv klserver -n KLSRV_POSTGRES_OPT_TLS_PASPHRASE -v <senha> -t s

7. Reinicie o serviço do Servidor de Administração.

Topo da página