主頁(yè) > 知識(shí)庫(kù) > 設(shè)置CA證書(shū)來(lái)強(qiáng)化PostgreSQL的安全性的教程

設(shè)置CA證書(shū)來(lái)強(qiáng)化PostgreSQL的安全性的教程

熱門(mén)標(biāo)簽:河北便宜電銷機(jī)器人軟件 小程序智能電話機(jī)器人 簡(jiǎn)單的智能語(yǔ)音電銷機(jī)器人 怎么去開(kāi)發(fā)一個(gè)電銷機(jī)器人 南昌呼叫中心外呼系統(tǒng)哪家好 泗洪正規(guī)電話機(jī)器人找哪家 ai電話電話機(jī)器人 湖南保險(xiǎn)智能外呼系統(tǒng)產(chǎn)品介紹 怎么申請(qǐng)400熱線電話

在經(jīng)歷了多次的摸索實(shí)驗(yàn)后我終于成功地實(shí)現(xiàn)了SSL證書(shū)認(rèn)證的功能,因此我想這次我要把這些步驟記錄下來(lái)供日后查閱。

出于安全和方便的原因,我要在一臺(tái)單獨(dú)的專用機(jī)器上簽署客戶的證書(shū),這臺(tái)機(jī)器也稱為 證書(shū)授證中心(CA)。

這讓我們?cè)谑跈?quán)新的客戶端時(shí)不必先登錄到PostgreSQL服務(wù)器然后再簽署證書(shū)或者修改pg_hba.conf。

我們要?jiǎng)?chuàng)建一個(gè)特殊的數(shù)據(jù)庫(kù)組,叫sslcertusers。這個(gè)組里的所有用戶都可以通過(guò)由CA簽署的證書(shū)進(jìn)行連接。

在下面的例子中,請(qǐng)將"trustly"替換成你的公司名或組織名。所有的命令都是基于Ubuntu Linux 12.04 LTS。
 
設(shè)置CA
CA應(yīng)該是一臺(tái)離線的處于高度安全環(huán)境中的計(jì)算機(jī)。

生成CA私鑰
 

sudo openssl genrsa -des3 -out /etc/ssl/private/trustly-ca.key 2048
sudo chown root:ssl-cert /etc/ssl/private/trustly-ca.key
sudo chmod 640 /etc/ssl/private/trustly-ca.key

生成CA證書(shū)
 

sudo openssl req -new -x509 -days 3650 \

-subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=trustly' \

-key /etc/ssl/private/trustly-ca.key \

-out /usr/local/share/ca-certificates/trustly-ca.crt
sudo update-ca-certificates

配置PostgreSQL服務(wù)器
生成PostgreSQL服務(wù)器私鑰
 

# Remove default snakeoil certs
sudo rm /var/lib/postgresql/9.1/main/server.key
sudo rm /var/lib/postgresql/9.1/main/server.crt
# Enter a passphrase
sudo -u postgres openssl genrsa -des3 -out /var/lib/postgresql/9.1/main/server.key 2048
# Remove the passphrase
sudo -u postgres openssl rsa -in /var/lib/postgresql/9.1/main/server.key -out /var/lib/postgresql/9.1/main/server.key
sudo -u postgres chmod 400 /var/lib/postgresql/9.1/main/server.key

生成PostgreSQL服務(wù)器證書(shū)簽署請(qǐng)求(CSR)

 

sudo -u postgres openssl req -new -nodes -key /var/lib/postgresql/9.1/main/server.key -days 3650 -out /tmp/server.csr -subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=postgres'

用CA私鑰簽署PostgreSQL服務(wù)器證書(shū)請(qǐng)求
 

sudo openssl req -x509 \

-key /etc/ssl/private/trustly-ca.key \

-in /tmp/server.csr \

-out /var/lib/postgresql/9.1/main/server.crt
sudo chown postgres:postgres /var/lib/postgresql/9.1/main/server.crt

創(chuàng)建根(root)證書(shū)=PostgreSQL服務(wù)器證書(shū)+CA證書(shū)
 

sudo -u postgres sh -c 'cat /var/lib/postgresql/9.1/main/server.crt /etc/ssl/certs/trustly-ca.pem gt; /var/lib/postgresql/9.1/main/root.crt'
sudo cp /var/lib/postgresql/9.1/main/root.crt /usr/local/share/ca-certificates/trustly-postgresql.crt
sudo update-ca-certificates

授權(quán)訪問(wèn)
 

CREATE GROUP sslcertusers;
ALTER GROUP sslcertusers ADD USER joel;
 
# /etc/postgresql/9.1/main/pg_hba.conf:
hostssl nameofdatabase +sslcertusers 192.168.1.0/24 cert clientcert=1

重啟PostgreSQL
 

sudo service postgresql restart

PostgreSQL客戶端設(shè)置
從PostgreSQL服務(wù)器上復(fù)制根證書(shū)
 

mkdir ~/.postgresql
cp /etc/ssl/certs/trustly-postgresql.pem ~/.postgresql/root.crt

生成PostgreSQL客戶端私鑰
 

openssl genrsa -des3 -out ~/.postgresql/postgresql.key 1024
 
# If this is a server, remove the passphrase:
openssl rsa -in ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.key

生成PostgreSQL客戶端證書(shū)簽署請(qǐng)求并簽署
 

# Replace "joel" with username:
openssl req -new -key ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.csr -subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=joel'
sudo openssl x509 -req -in ~/.postgresql/postgresql.csr -CA /etc/ssl/certs/trustly-ca.pem -CAkey /etc/ssl/private/trustly-ca.key -out ~/.postgresql/postgresql.crt -CAcreateserial
sudo chown joel:joel -R ~/.postgresql
sudo chmod 400 -R ~/.postgresql/postgresql.key

您可能感興趣的文章:
  • PostgreSQL新手入門(mén)教程
  • Windows下Postgresql數(shù)據(jù)庫(kù)的下載與配置方法
  • Debian中PostgreSQL數(shù)據(jù)庫(kù)安裝配置實(shí)例

標(biāo)簽:瀘州 荊門(mén) 柳州 景德鎮(zhèn) 威海 江蘇 那曲 淮安

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《設(shè)置CA證書(shū)來(lái)強(qiáng)化PostgreSQL的安全性的教程》,本文關(guān)鍵詞  設(shè)置,證書(shū),來(lái),強(qiáng)化,PostgreSQL,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《設(shè)置CA證書(shū)來(lái)強(qiáng)化PostgreSQL的安全性的教程》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于設(shè)置CA證書(shū)來(lái)強(qiáng)化PostgreSQL的安全性的教程的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章