PostgreSQL 10.1 手册_部分 III. 服务器管理_第 18 章 服务器设置和操作_18.9. 用 SSL 进行安全的 TCP/IP 连接

本文涉及的产品
云原生数据库 PolarDB MySQL 版,Serverless 5000PCU 100GB
Digicert DV 证书 单域名,20个 3个月
简介: 18.9. 用 SSL 进行安全的 TCP/IP 连接 18.9.1. 使用客户端证书 18.9.2. SSL 服务器文件用法 18.9.3. 创建自签名的证书 PostgreSQL有一个对使用SSL连接加密客户端/服务器通讯的本地支持,它可以增加安全性。

18.9. 用 SSL 进行安全的 TCP/IP 连接

PostgreSQL有一个对使用SSL连接加密客户端/服务器通讯的本地支持,它可以增加安全性。这个特性要求在客户端和服务器端都安装OpenSSL并且在编译PostgreSQL的时候打开这个支持(见第 16 章)。

当SSL支持被编译在PostgreSQL中时,可以通过将postgresql.conf中的 ssl设置为onPostgreSQL服务器带着SSL支持被启动。 服务器在同一个 TCP 端口监听普通连接和SSL连接,并且将与任何正在连接的客户端协商是否使用SSL。默认情况下,这是客户端的选项,关于如何设置服务器来要求某些或者所有连接使用SSL请见第 20.1 节

PostgreSQL读取系统范围的OpenSSL配置文件。默认情况下,这个文件名为openssl.cnf并且被放置在openssl version -d所报告的目录中。通过设置环境变量OPENSSL_CONF指定你想要的配置文件名可以覆盖此默认配置。

OpenSSL支持范围广泛的密码和认证算法。而在OpenSSL配置文件可以指定一个密码列表, 你可以通过在postgresql.conf中修改ssl_ciphers来指定数据库服务器使用的专用密码。

注意

使用NULL-SHANULL-MD5可以得到身份验证但没有加密开销。不过,中间人能够读取和传递客户端和服务器之间的通信。此外,加密开销相比身份认证的开销是最小的。出于这些原因,我们建议不要使用 NULL 密码。

要SSL模式中启动服务器,包含服务器证书和私钥的文件必须存在。默认情况下,这些文件应该分别被命名为server.crtserver.key并且被放在服务器的数据目录中,但是可以通过配置参数ssl_cert_filessl_key_file指定其他名称和位置。

在 Unix 系统上,server.key上的权限必须不允许所有人或组的任何访问,通过命令chmod 0600 server.key可以做到。或者,该文件可以由 root 所拥有并且具有组读访问(也就是0640权限)。这种设置适用于由操作系统管理证书和密钥文件的安装。用于运行PostgreSQL服务器的用户应该被作为能够访问那些证书和密钥文件的组成员。

如果私钥被一个密码保护着,服务器将提示要求这个密码,并且在它被输入前不会启动。 使用密码还会禁用在不重启服务器的情况下更改服务器的SSL配置的功能。 此外,密码保护的私钥在Windows上根本无法使用。

在有些情况下,服务器证书可能由一个中间 证书颁发机构签名,而不是直接由客户端信任的证书颁发 机构直接签名。要使用这样的证书,请追加该签发权的证书到server.crt文件,然后追加其父签发权的证书,以此类推一直到一个被客户端所信任的中间颁发机构,即由一个位于客户端root.crt文件中的证书签发。

18.9.1. 使用客户端证书

要求客户端提供受信任的证书,把你信任的证书颁发机构(CA)的证书放置在数据目录的文件root.crt中。并且修改postgresql.conf中的参数ssl_ca_fileroot.crt,还要把认证选项clientcert=1加入到pg_hba.conf文件中合适的hostssl行上。然后将在 SSL 连接启动时从客户端请求该证书(一段对于如何在客户端设置证书的描述请见第 33.18 节)。服务器将验证客户端的证书是由受信任的证书颁发机构之一签名。

如果中间CA出现在root.crt中,该文件必须也包含到它们的根CA的证书链。如果参数ssl_crl_file被设置,证书撤销列表(CRL)项也要被检查(显示 SSL 证书用法的图标见http://h71000.www7.hp.com/doc/83final/ba554_90007/ch04s02.html)。

clientcert认证选项适用于所有的认证方法,但仅适用于pg_hba.conf中用hostssl指定的行。 当clientcert没有指定或设置为 0时,如果配置了 CA 文件,服务器将仍然会根据它验证任何提交的客户端证书 — 但是它将不会坚持要求出示一个客户端证书。

请注意服务器的root.crt列出了顶级的 CA,它们对客户端证书的签名被认为是可信的。 原则上不需要列出签名服务器证书的 CA,然而在大多数情况下,这些 CA 对于客户端证书也是可信的。

如果你在设置客户端证书,你可能希望用cert认证方法,这样证书控制用户认证以及提供连接安全。详见第 20.3.9 节(在使用cert认证方法时,没有必要显式地指定clientcert=1)。

18.9.2. SSL 服务器文件用法

表 18.2总结了与服务器上 SSL 配置有关的文件(显示的文件名是默认的或者是经典名称。本地配置的名称可能会不同)。

表 18.2. SSL 服务器文件用法

文件 内容 效果
ssl_cert_file ($PGDATA/server.crt) 服务器证书 发送给客户端来说明服务器的身份
ssl_key_file ($PGDATA/server.key) 服务器私钥 证明服务器证书是其所有者发送的,并不说明证书所有者是值得信任的
ssl_ca_file ($PGDATA/root.crt) 可信的证书颁发机构 检查客户端证书是由一个可信的证书颁发机构签名的
ssl_crl_file ($PGDATA/root.crl) 被证书授权机构撤销的证书 客户端证书不能出现在这个列表上

服务器在服务器启动时以及服务器配置重新加载时读取这些文件。 在Windows系统上,只要为新客户端连接生成新的后端进程, 它们也会重新读取。

如果在服务器启动时检测到这些文件中的错误,服务器将拒绝启动。但是, 如果在配置重新加载过程中检测到错误,则会忽略这些文件,并继续使用旧的SSL配置。 在Windows系统上,如果在后端启动时检测到这些文件中存在错误, 则该后端将无法建立SSL连接。在所有这些情况下,错误情况都会在服务器日志中报告。

18.9.3. 创建自签名的证书

要为服务器创建一个有效期为365天的快速自签名证书, 可以使用下面的OpenSSL命令, 将yourdomain.com替换为服务器的主机名:

openssl req -new -x509 -days 365 -nodes -text -out server.crt \
  -keyout server.key -subj "/CN=yourdomain.com"

然后执行:

chmod og-rwx server.key

如果文件的权限比这个更自由,服务器将拒绝该文件。要了解更多关于如何创建你的服务器私钥和证书的细节, 请参考OpenSSL文档。

自签名的证书可以被用于测试,但由证书颁发机构(CA)(要么是全局CA中的一个或者一个本地 CAhttp://www.postgres.cn/docs/10/ssl-tcp.html签名的证书应该被用在生产中,这样客户端可以验证服务器的身份。如果对于组织来说所有的客户端都是本地的,建议使用本地CA。

本文转自PostgreSQL中文社区,原文链接: 18.9. 用 SSL 进行安全的 TCP/IP 连接
相关实践学习
使用PolarDB和ECS搭建门户网站
本场景主要介绍基于PolarDB和ECS实现搭建门户网站。
阿里云数据库产品家族及特性
阿里云智能数据库产品团队一直致力于不断健全产品体系,提升产品性能,打磨产品功能,从而帮助客户实现更加极致的弹性能力、具备更强的扩展能力、并利用云设施进一步降低企业成本。以云原生+分布式为核心技术抓手,打造以自研的在线事务型(OLTP)数据库Polar DB和在线分析型(OLAP)数据库Analytic DB为代表的新一代企业级云原生数据库产品体系, 结合NoSQL数据库、数据库生态工具、云原生智能化数据库管控平台,为阿里巴巴经济体以及各个行业的企业客户和开发者提供从公共云到混合云再到私有云的完整解决方案,提供基于云基础设施进行数据从处理、到存储、再到计算与分析的一体化解决方案。本节课带你了解阿里云数据库产品家族及特性。
相关文章
|
8天前
|
网络安全 Apache
Apache服务器安装SSL证书
Apache服务器安装SSL证书
13 0
|
28天前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
7天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
32 14
|
20天前
|
弹性计算 DataWorks 关系型数据库
ECS安全组问题之加入多个安全组如何解决
ECS(Elastic Compute Service,弹性计算服务)是云计算服务提供商提供的一种基础云服务,允许用户在云端获取和配置虚拟服务器。以下是ECS服务使用中的一些常见问题及其解答的合集:
|
28天前
|
弹性计算 监控
ecs合理设置CPUCredits
阿里云ECS的Burstable实例使用CPU Credits管理额外计算能力。监控应用负载以评估CPU需求,选择合适实例类型,优化工作负载分配,确保 Credits 累积与消耗平衡。当Credits不足时,可升级实例或调整工作负载。关注阿里云最新文档以获取准确操作指南。
19 3
|
1月前
|
Java Python
如何设置代理ip服务器地址
如何设置代理ip服务器地址
52 0
|
1月前
|
API 数据安全/隐私保护
Outlook邮箱IMAP服务器设置怎么做?
Outlook邮箱IMAP服务器设置怎么做?
|
1月前
|
弹性计算 网络安全 Apache
windows server2012服务器下PHPstudy配置ssl证书(https配置)
windows server2012服务器下PHPstudy配置ssl证书(https配置)
65 0
|
网络协议
TCP/IP协议的介绍
TCP/IP协议是众多协议的统称,通过分层结构来管理。可分为七层模型或四层结构
|
网络协议 网络架构
六、TCP/IP模型 和 5层参考模型
六、TCP/IP模型 和 5层参考模型
六、TCP/IP模型 和 5层参考模型