欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

设置CA证书来强化PostgreSQL的安全性的教程

程序员文章站 2022-07-06 10:17:05
在经历了多次的摸索实验后我终于成功地实现了ssl证书认证的功能,因此我想这次我要把这些步骤记录下来供日后查阅。 出于安全和方便的原因,我要在一台单独的专用机器上签署客户的...

在经历了多次的摸索实验后我终于成功地实现了ssl证书认证的功能,因此我想这次我要把这些步骤记录下来供日后查阅。

出于安全和方便的原因,我要在一台单独的专用机器上签署客户的证书,这台机器也称为 证书授证中心(ca)。

这让我们在授权新的客户端时不必先登录到postgresql服务器然后再签署证书或者修改pg_hba.conf。

我们要创建一个特殊的数据库组,叫sslcertusers。这个组里的所有用户都可以通过由ca签署的证书进行连接。

在下面的例子中,请将"trustly"替换成你的公司名或组织名。所有的命令都是基于ubuntu linux 12.04 lts。
 
设置ca
ca应该是一台离线的处于高度安全环境中的计算机。

生成ca私钥
 

sudo openssl genrsa -des3 -out /etc/ssl/private/trustly-ca.key 2048
sudo chown root:ssl-cert /etc/ssl/private/trustly-ca.key
sudo chmod 640 /etc/ssl/private/trustly-ca.key

生成ca证书
 

sudo openssl req -new -x509 -days 3650 \
-subj '/c=se/st=stockholm/l=stockholm/o=trustly/cn=trustly' \
-key /etc/ssl/private/trustly-ca.key \
-out /usr/local/share/ca-certificates/trustly-ca.crt
sudo update-ca-certificates

配置postgresql服务器
生成postgresql服务器私钥
 

# remove default snakeoil certs
sudo rm /var/lib/postgresql/9.1/main/server.key
sudo rm /var/lib/postgresql/9.1/main/server.crt
# enter a passphrase
sudo -u postgres openssl genrsa -des3 -out /var/lib/postgresql/9.1/main/server.key 2048
# remove the passphrase
sudo -u postgres openssl rsa -in /var/lib/postgresql/9.1/main/server.key -out /var/lib/postgresql/9.1/main/server.key
sudo -u postgres chmod 400 /var/lib/postgresql/9.1/main/server.key

生成postgresql服务器证书签署请求(csr)

 

sudo -u postgres openssl req -new -nodes -key /var/lib/postgresql/9.1/main/server.key -days 3650 -out /tmp/server.csr -subj '/c=se/st=stockholm/l=stockholm/o=trustly/cn=postgres'

用ca私钥签署postgresql服务器证书请求
 

sudo openssl req -x509 \
-key /etc/ssl/private/trustly-ca.key \
-in /tmp/server.csr \
-out /var/lib/postgresql/9.1/main/server.crt
sudo chown postgres:postgres /var/lib/postgresql/9.1/main/server.crt

创建根(root)证书=postgresql服务器证书+ca证书
 

sudo -u postgres sh -c 'cat /var/lib/postgresql/9.1/main/server.crt /etc/ssl/certs/trustly-ca.pem > /var/lib/postgresql/9.1/main/root.crt'
sudo cp /var/lib/postgresql/9.1/main/root.crt /usr/local/share/ca-certificates/trustly-postgresql.crt
sudo update-ca-certificates

授权访问
 

create group sslcertusers;
alter group sslcertusers add user joel;
 
# /etc/postgresql/9.1/main/pg_hba.conf:
hostssl nameofdatabase +sslcertusers 192.168.1.0/24 cert clientcert=1

重启postgresql
 

sudo service postgresql restart

postgresql客户端设置
从postgresql服务器上复制根证书
 

mkdir ~/.postgresql
cp /etc/ssl/certs/trustly-postgresql.pem ~/.postgresql/root.crt

生成postgresql客户端私钥
 

openssl genrsa -des3 -out ~/.postgresql/postgresql.key 1024
 
# if this is a server, remove the passphrase:
openssl rsa -in ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.key

生成postgresql客户端证书签署请求并签署
 

# replace "joel" with username:
openssl req -new -key ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.csr -subj '/c=se/st=stockholm/l=stockholm/o=trustly/cn=joel'
sudo openssl x509 -req -in ~/.postgresql/postgresql.csr -ca /etc/ssl/certs/trustly-ca.pem -cakey /etc/ssl/private/trustly-ca.key -out ~/.postgresql/postgresql.crt -cacreateserial
sudo chown joel:joel -r ~/.postgresql
sudo chmod 400 -r ~/.postgresql/postgresql.key

上一篇: 解释器模式 Interpreter 行为型 设计模式(十九)

下一篇: MySQL之视图、触发器、事务、存储、函数、流程控制

推荐阅读