PostgreSQL 16 : PostgreSQL over SSL/TLS2024/05/15 |
PostgreSQL で SSL/TLS による暗号化通信の設定を有効にします。
|
|
[1] | |
[2] | 作成した証明書をコピーして SSL/TLS の設定をします。 |
[root@www ~]# cp /etc/pki/tls/certs/server.{crt,key} /var/lib/pgsql/data/ [root@www ~]# chown postgres:postgres /var/lib/pgsql/data/server.{crt,key} [root@www ~]# chmod 600 /var/lib/pgsql/data/server.{crt,key}
[root@www ~]#
vi /var/lib/pgsql/data/postgresql.conf # 108行目 : コメント解除して変更 ssl = on
# 110, 113行目 : コメント解除して作成した証明書に変更 #ssl_ca_file = '' ssl_cert_file = ' server.crt '#ssl_crl_file = '' #ssl_crl_dir = '' ssl_key_file = ' server.key '
[root@www ~]#
vi /var/lib/pgsql/data/pg_hba.conf # 112行目以降でアクセス元や認証方式の設定 # TYPE DATABASE USER ADDRESS METHOD # "local" is for Unix domain socket connections only local all all peer # IPv4 local connections: host all all 127.0.0.1/32 ident # IPv6 local connections: host all all ::1/128 ident # Allow replication connections from localhost, by a user with the # replication privilege. local replication all peer host replication all 127.0.0.1/32 ident host replication all ::1/128 ident # 最終行に追記 # [hostssl] ⇒ SSL/TLS 使用時のみ TCP/IP ネットワークを使用する # [10.0.0.0/24] ⇒ アクセス許可するネットワーク # [scram-sha-256] ⇒ scram-sha-256 パスワード認証を使用する hostssl all all 10.0.0.0/24 scram-sha-256[root@www ~]# systemctl restart postgresql
|
[3] | 設定が完了したら、PostgreSQL でアクセス許可を設定したネットワーク内の任意のホストから接続確認をしておきます。 |
# Unix ドメインソケット接続は通常通り [fedora@www ~]$ psql testdb
psql (16.1)
Type "help" for help.
testdb=> \q
# 宛先ホストを指定した TCP/IP 接続は設定通り SSL/TLS 接続 # SSL/TLS 接続時は以下のように [SSL connection ***] と表示される [fedora@www ~]$ psql -h www.srv.world testdb
Password for user fedora:
psql (16.1)
SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off)
Type "help" for help.
testdb=> \q
# 他ホストからの TCP/IP 接続も SSL/TLS 接続 [root@node01 ~]# psql -h www.srv.world -d testdb -U fedora Password for user fedora: psql (16.1) SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off) Type "help" for help. testdb=> |
Sponsored Link |
|