Настроить PostgreSQL на связь по протоколу SSL

@alexlagunov · Регистрация: 26.04.2014

Author24 — интернет-сервис помощи студентам

Здравствуйте, помогите разобраться. Требуется установить библиотеку OpenSSL и настроить PostgreSQL на связь по протоколу SSL.
как это реализовать?
у меня стоит Ubuntu и postgresql 9.1.13

Добавлено через 45 минут
1. я установил synaptic

@grgdvo · 08.05.2014, 23:08

Сообщение от alexlagunov

Требуется установить библиотеку OpenSSL

ubuntu плохо знаю, apt-get и apt-cache должны прояснить ситуацию. пакет обычно так и называется в репозитории: openssl-...

Сообщение от alexlagunov

настроить PostgreSQL на связь по протоколу SSL.

Пробовали как здесь описано?
Если пробовали, то что не работает?

@alexlagunov · 09.05.2014, 07:36 **[ТС]**

сегодня буду пробовать, отпишусь о результате

@alexlagunov · 11.05.2014, 11:01 **[ТС]**

попробовал, но не разобрался.,
[Для создания быстрого самозаверяющий сертификат для сервера, используйте следующую команду OpenSSL :
openssl req -new -text -out server.req]
после ввода этой команды:
al@ubuntu:~$ openssl req -new -text -out server.req
Generating a 2048 bit RSA private key
.......................+++
............................+++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:
"я ввожу пароль"-> Verifying - Enter PEM pass phrase:
"повторно ввожу"
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:

(заполняю все строки, некоторые пропускаю, как там написано)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:11111111
An optional company name []:alex
al@ubuntu:~$

что дальше?)
или уже настроено, тогда как проверить
help

Добавлено через 11 минут
вы когда нибудь подключали этот ssl???

@alexlagunov · 12.05.2014, 15:33 **[ТС]**

сделал следующее:
1)$ wget http://www.openssl.org/source/... .0a.tar.gz
2)$ tar xzf openssl-1.0.0a.tar.gz
3)$ cd openssl-1.0.0a
здесь все идет нормально, но на след шаге: 4) $ config shared zlib enable-rfc3779 --prefix=/usr/local

al@ubuntu:~/openssl-1.0.0a$ config shared zlib enable-rfc3779 --prefix=/usr/local
Команда 'config' не найдена, возможно вы имели в виду:
Команда 'vconfig' из пакета 'vlan' (main)
Команда 'zconfig' из пакета 'python-zconfig' (universe)
Команда 'fconfig' из пакета 'redboot-tools' (main)
Команда 'mconfig' из пакета 'mono-devel' (main)
config: команда не найдена
в чем дело?

Добавлено через 30 минут
все нормально, openssl я установил)
теперь что? как его использовать в postgresql?

@grgdvo · 12.05.2014, 15:51

Давайте по порядку. Сначала openssl
Не стоит устанавливать пакет из исходников, когда он есть в репозитории. В общем случае это не возбраняется, но тогда вы обрекаете себя на кучу лишних действий.
В данном случае положитесь на создателей ubuntu
Вот здесь сказано, что пакет так и называется: openssl (первая строчка запроса).
Я не работаю с ubuntu, поэтому не знаю какие могут быть подвдоные камни.
Должно хватить команды (под суперпользователем)

Bash

1	apt-get install openssl

Эта команда должна все установить в систему в нужные места, чтобы postgresql, который лучше тоже установить из репозитория, смог найти нужны библиотеки и настройки.

@alexlagunov · 12.05.2014, 15:56 **[ТС]**

так допустим я это сделал, как теперь связать postresql и установленный пакет ssl?

Добавлено через 2 минуты
postgres=# --with-ssl;
не просто же так?

@grgdvo · 12.05.2014, 16:17

Ну а далее postgresql... Я в свое время делал исключительно по документации.
Вы начали почти правильно.
1. Если у вас нет инфраструктуры сертификатов, то вам придется создать собственный локальный (для сервера СУБД) центр сертификации (CA). Этого, конечно, не описано в документации по postgresql. Ищите в Гугль по запросу openssl local CA или как-то так. С большой вероятностью попадете на разжеванную информацию. Смысл этого действия получить _корневой_ сертификат, которым потом будут подписываться сертификаты сервера и клиентов, и далее будет проверяться валидность этих сертификатов.
2. Далее как по документации создайте сертификат для сервера и положите его в описанные в доке директории.
3. Далее аналогично подписываете сертификаты для клиентов и тоже размещаете в нужных директориях
4. Далее устанавливаете соотв. параметры в postgresql.conf и pg_hba.conf (все описано) у сервера и клиентов. Нужно выбрать соответствующие методы.
5. Пробуем.

Не уверен, что все шаги я указал полностью верно, это в кратце.
Но вы спрашивайте, по мере сил и времени, попробую отвечать на вопросы.

Добавлено через 5 минут

Сообщение от alexlagunov

так допустим я это сделал, как теперь связать postresql и установленный пакет ssl?

Похоже, что в ubuntu по умолчанию уже собран с поддержкой ssl.
Во всяком случае это полезно из общих соображений.

Напрмую (так скажем) эти пакеты не связаны.
openssl предоставить функции создания и поддержания инфраструктуры сертификатов.
А далее в postgresql вы их просто используете.
Важно, чтобы все лежало в нужных директориях.
Ну и еще глобальный параметр в postgresql.conf

Bash

ssl on

@alexlagunov · 13.05.2014, 09:40 **[ТС]**

завтра буду разбираться, не знаю что из этого получиться

Добавлено через 16 часов 36 минут
то есть, во первых, я должен оздать корневой сертификат

Добавлено через 24 минуты
http://www.youtube.com/watch?v=FWK3lR6bSn8

вот здесь в принципе все наглядно, это ведь то что нужно?

@grgdvo · 13.05.2014, 15:12

Да! То, что нужно.
Только поля в сертификатах вводите вдумчиво. Ну и сроки сертификатов тоже.

Чего только не найдешь в Интернете

Может быть модераторам как-то занести эту ссылочку в FAQ ну или как-то отметить ее??

@alexlagunov · 13.05.2014, 15:46 **[ТС]**

тему можно закрывать

@grgdvo 1241 / 960 / 379 Регистрация: 02.09.2012 Сообщений: 2,936
	13.05.2014, 15:12	10
	Да! То, что нужно. Только поля в сертификатах вводите вдумчиво. Ну и сроки сертификатов тоже. Чего только не найдешь в Интернете Может быть модераторам как-то занести эту ссылочку в FAQ ну или как-то отметить ее?? 1

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
		1
	Настроить PostgreSQL на связь по протоколу SSL 06.05.2014, 08:44. Показов 4716. Ответов 10 Метки нет (Все метки) Здравствуйте, помогите разобраться. Требуется установить библиотеку OpenSSL и настроить PostgreSQL на связь по протоколу SSL. как это реализовать? у меня стоит Ubuntu и postgresql 9.1.13 Добавлено через 45 минут 1. я установил synaptic 0

@grgdvo 1241 / 960 / 379 Регистрация: 02.09.2012 Сообщений: 2,936
	08.05.2014, 23:08	2
	Сообщение от alexlagunov Требуется установить библиотеку OpenSSL ubuntu плохо знаю, apt-get и apt-cache должны прояснить ситуацию. пакет обычно так и называется в репозитории: openssl-... Сообщение от alexlagunov настроить PostgreSQL на связь по протоколу SSL. Пробовали как здесь описано? Если пробовали, то что не работает? 0

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	09.05.2014, 07:36 [ТС]	3
	сегодня буду пробовать, отпишусь о результате 0

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	11.05.2014, 11:01 [ТС]	4
	попробовал, но не разобрался., [Для создания быстрого самозаверяющий сертификат для сервера, используйте следующую команду OpenSSL : openssl req -new -text -out server.req] после ввода этой команды: al@ubuntu:~$ openssl req -new -text -out server.req Generating a 2048 bit RSA private key .......................+++ ............................+++ writing new private key to 'privkey.pem' Enter PEM pass phrase: "я ввожу пароль"-> Verifying - Enter PEM pass phrase: "повторно ввожу" ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (заполняю все строки, некоторые пропускаю, как там написано) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:11111111 An optional company name []:alex al@ubuntu:~$ что дальше?) или уже настроено, тогда как проверить help Добавлено через 11 минут вы когда нибудь подключали этот ssl??? 0

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	12.05.2014, 15:33 [ТС]	5
	сделал следующее: 1)$ wget http://www.openssl.org/source/... .0a.tar.gz 2)$ tar xzf openssl-1.0.0a.tar.gz 3)$ cd openssl-1.0.0a здесь все идет нормально, но на след шаге: 4) $ config shared zlib enable-rfc3779 --prefix=/usr/local al@ubuntu:~/openssl-1.0.0a$ config shared zlib enable-rfc3779 --prefix=/usr/local Команда 'config' не найдена, возможно вы имели в виду: Команда 'vconfig' из пакета 'vlan' (main) Команда 'zconfig' из пакета 'python-zconfig' (universe) Команда 'fconfig' из пакета 'redboot-tools' (main) Команда 'mconfig' из пакета 'mono-devel' (main) config: команда не найдена в чем дело? Добавлено через 30 минут все нормально, openssl я установил) теперь что? как его использовать в postgresql? 0

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	12.05.2014, 15:56 [ТС]	7
	так допустим я это сделал, как теперь связать postresql и установленный пакет ssl? Добавлено через 2 минуты postgres=# --with-ssl; не просто же так? 0

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	13.05.2014, 09:40 [ТС]	9
	завтра буду разбираться, не знаю что из этого получиться Добавлено через 16 часов 36 минут то есть, во первых, я должен оздать корневой сертификат Добавлено через 24 минуты http://www.youtube.com/watch?v=FWK3lR6bSn8 вот здесь в принципе все наглядно, это ведь то что нужно? 1

@alexlagunov 2 / 2 / 2 Регистрация: 26.04.2014 Сообщений: 58
	13.05.2014, 15:46 [ТС]	11
	тему можно закрывать 0