Сценарий: Аутентификация PostgreSQL Server
Рекомендуется использовать TLS-сертификат для аутентификации сервера PostgreSQL. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат доверенного центра сертификации (CA), так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.
Сервер администрирования поддерживает как одностороннюю, так и двустороннюю SSL-аутентификацию для PostgreSQL.
Выполните следующие шаги, чтобы настроить SSL-аутентификацию для PostgreSQL:
- Сгенерируйте сертификат для сервера PostgreSQL.
Выполните следующие команды:
openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"
chmod og-rwx psql.key
- Сгенерируйте сертификат для Сервера администрирования.
Выполните следующие команды. Значение CN должно соответствовать имени пользователя, который подключается к PostgreSQL от имени Сервера администрирования. По умолчанию имя пользователя – postgres.
openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"
chmod og-rwx postgres.key
- Настройте аутентификацию клиентского сертификата.
Измените pg_hba.conf следующим образом:
hostssl all all 0.0.0.0/0 md5
Убедитесь, что в pg_hba.conf нет записи, начинающейся с
host
. - Укажите сертификат PostgreSQL.
- Перезапустите демон PostgreSQL.
Выполните следующую команду:
systemctl restart postgresql-14.service
- Укажите флаг сервера для Сервера администрирования.
- Перезапустите службу Сервера администрирования.