PostgreSQL 8.3.3문서
Prev	Fast Backward	Chapter 16. 운영 시스템의 환경	Fast Forward	Next

16.7. SSL에 의한 안전한 TCP/IP접속

PostgreSQL는 표준으로 SSL접속을 지원해, 클라이언트/서버의 통신이 한층 더 안전하게 되도록 암호화합니다. 그 때문에 OpenSSL가 클라이언트와 서버 시스템의 양쪽 모두에 설치되어 구축시에 PostgreSQL에 있어서의 그 지원이 유효하게 되어야 합니다(Chapter 14를 참조해 주세요).

SSL지원을 유효하게 해 컴파일 되었을 경우, PostgreSQL서버는, postgresql.conf에 대해 ssl매개변수를 on로 하는 것으로, SSL지원을 유효하게 해 기동할 수가 있습니다. 서버는 같은 TCP 포트로 표준적인 접속과 SSL접속의 양쪽 모두를 기다려 클라이언트와의 접속SSL을 사용할지 아닐지 조정 합니다. 기본값에서는, 이것은 클라이언트의 선택사항입니다. 일부 또는 모든 접속으로SSL의 사용을 필요로 하기 위한 서버측의 설정 방법법에 관해서는 Section 20.1을 참조해 주세요.

PostgreSQL는, 시스템 전체용의 OpenSSL설정 파일을 읽어냅니다. 기본값에서는, 이 파일의 이름은 openssl.cnf이며, openssl version -d로 보고되는 디렉토리에 존재합니다. 이 기본값은 환경 변수 OPENSSL_CONF를 희망하는 설정 파일의 이름으로 설정하는 것으로써 변경 가능합니다.

서버의 비밀 키 및 증명서를 작성하기 위한 자세한 방법에 대해서는 OpenSSL의 문서를 참조해 주세요. 자기 서명 증명서를 시험을 위해서 사용할 수 있습니다만, 클라이언트가 서버의 신원을 검증할 수 있기 때문에, 운용시는(글로벌인CA의 하나 또는 로컬)(CA)에 의해 서명된 증명서를 사용해야 합니다. 서버용의 자기 서명 증명서를 간단하게 만들기 위해서는 아래와 같은 OpenSSL명령을 사용해 주세요.

openssl req -new -text -out server.req

openssl로부터 나오는 질문에 답해 주세요. 이 때, "Common Name"에는 확실히 로컬 호스트명을 입력해 주세요. 챌린지 패스워드는 공백에서도 상관하지 않습니다. 이 프로그램은 패스 프레이즈로 보호된 키를 생성합니다만, 4 문자 이하의 패스 프레이즈는 인정되지 않습니다. 패스 프레이즈를 삭제하기 위해서는(서버의 자동 기동을 실시하고 싶은 것이면), 아래와 같은 명령을 실행해 주세요.

openssl rsa -in privkey.pem -out server.key
rm privkey.pem

기존의 키의 락을 제외하기 위해서(때문에), 낡은 패스 프레이즈를 입력합니다. 그리고, 아래와 같이를 실행해 주세요.

openssl req -x509 -in server.req -text -key server.key -out server.crt
chmod og-rwx server.key

이와 같이, 증명서를 자기 서명의 증명서로 해, 키와 증명서를 서버가 검색하는 장소에 복사합니다. 서버의 비밀 키 및 증명서를 작성하기 위한 자세한 방법에 대해서는 OpenSSL의 문서를 참조해 주세요.

클라이언트에 신뢰할 수 있는 증명서를 요구하기 위해서는, 신뢰하는 CA의 증명서를 데이터 디렉토리내의 root.crt파일에 기술해 주세요. 그 후, SSL 접속 기동시에 클라이언트로부터의 증명서가 요구됩니다. (클라이언트 증명서의 설정 방법법에 대해서는Section 29.16을 참조해 주세요. ) root.crl파일이 존재하는 경우, 증명 실효 리스트(CRL) 항목도 검사됩니다.

root.crt파일이 존재하지 않는 경우, 클라이언트 증명서는 요구도 검사도 되지 않습니다. 이 모드에서는, SSL는 암호화 통신을 제공합니다만, 인증을 실시하지 않습니다.

server.key, server.crt, root.crt, root.crl파일은, 서버 기동시에만 검사됩니다. 그러므로, 이러한 파일의 변경을 유효하게 하기 위해서는 서버를 재기동할 필요가 있습니다.

Prev	Home	Next
암호화 옵션	Up	SSH터널을 사용한 안전한 TCP/IP접속