在經(jīng)歷了多次的摸索實驗后我終于成功地實現(xiàn)了SSL證書認證的功能,因此我想這次我要把這些步驟記錄下來供日后查閱。
出于安全和方便的原因,我要在一臺單獨的專用機器上簽署客戶的證書,這臺機器也稱為 證書授證中心(CA)。
這讓我們在授權(quán)新的客戶端時不必先登錄到PostgreSQL服務(wù)器然后再簽署證書或者修改pg_hba.conf。
我們要創(chuàng)建一個特殊的數(shù)據(jù)庫組,叫sslcertusers。這個組里的所有用戶都可以通過由CA簽署的證書進行連接。
在下面的例子中,請將"trustly"替換成你的公司名或組織名。所有的命令都是基于Ubuntu Linux 12.04 LTS。
設(shè)置CA
CA應(yīng)該是一臺離線的處于高度安全環(huán)境中的計算機。
生成CA私鑰
sudo openssl genrsa -des3 -out /etc/ssl/private/trustly-ca.key 2048
sudo chown root:ssl-cert /etc/ssl/private/trustly-ca.key
sudo chmod 640 /etc/ssl/private/trustly-ca.key
生成CA證書
sudo openssl req -new -x509 -days 3650 \
-subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=trustly' \
-key /etc/ssl/private/trustly-ca.key \
-out /usr/local/share/ca-certificates/trustly-ca.crt
sudo update-ca-certificates
配置PostgreSQL服務(wù)器
生成PostgreSQL服務(wù)器私鑰
# Remove default snakeoil certs
sudo rm /var/lib/postgresql/9.1/main/server.key
sudo rm /var/lib/postgresql/9.1/main/server.crt
# Enter a passphrase
sudo -u postgres openssl genrsa -des3 -out /var/lib/postgresql/9.1/main/server.key 2048
# Remove the passphrase
sudo -u postgres openssl rsa -in /var/lib/postgresql/9.1/main/server.key -out /var/lib/postgresql/9.1/main/server.key
sudo -u postgres chmod 400 /var/lib/postgresql/9.1/main/server.key
生成PostgreSQL服務(wù)器證書簽署請求(CSR)
sudo -u postgres openssl req -new -nodes -key /var/lib/postgresql/9.1/main/server.key -days 3650 -out /tmp/server.csr -subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=postgres'
用CA私鑰簽署PostgreSQL服務(wù)器證書請求
sudo openssl req -x509 \
-key /etc/ssl/private/trustly-ca.key \
-in /tmp/server.csr \
-out /var/lib/postgresql/9.1/main/server.crt
sudo chown postgres:postgres /var/lib/postgresql/9.1/main/server.crt
創(chuàng)建根(root)證書=PostgreSQL服務(wù)器證書+CA證書
sudo -u postgres sh -c 'cat /var/lib/postgresql/9.1/main/server.crt /etc/ssl/certs/trustly-ca.pem gt; /var/lib/postgresql/9.1/main/root.crt'
sudo cp /var/lib/postgresql/9.1/main/root.crt /usr/local/share/ca-certificates/trustly-postgresql.crt
sudo update-ca-certificates
授權(quán)訪問
CREATE GROUP sslcertusers;
ALTER GROUP sslcertusers ADD USER joel;
# /etc/postgresql/9.1/main/pg_hba.conf:
hostssl nameofdatabase +sslcertusers 192.168.1.0/24 cert clientcert=1
重啟PostgreSQL
sudo service postgresql restart
PostgreSQL客戶端設(shè)置
從PostgreSQL服務(wù)器上復(fù)制根證書
mkdir ~/.postgresql
cp /etc/ssl/certs/trustly-postgresql.pem ~/.postgresql/root.crt
生成PostgreSQL客戶端私鑰
openssl genrsa -des3 -out ~/.postgresql/postgresql.key 1024
# If this is a server, remove the passphrase:
openssl rsa -in ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.key
生成PostgreSQL客戶端證書簽署請求并簽署
# Replace "joel" with username:
openssl req -new -key ~/.postgresql/postgresql.key -out ~/.postgresql/postgresql.csr -subj '/C=SE/ST=Stockholm/L=Stockholm/O=Trustly/CN=joel'
sudo openssl x509 -req -in ~/.postgresql/postgresql.csr -CA /etc/ssl/certs/trustly-ca.pem -CAkey /etc/ssl/private/trustly-ca.key -out ~/.postgresql/postgresql.crt -CAcreateserial
sudo chown joel:joel -R ~/.postgresql
sudo chmod 400 -R ~/.postgresql/postgresql.key
您可能感興趣的文章:- PostgreSQL新手入門教程
- Windows下Postgresql數(shù)據(jù)庫的下載與配置方法
- Debian中PostgreSQL數(shù)據(jù)庫安裝配置實例