기본적으로범퍼카 토토서버 인증서 확인을 수행하지 않습니다. 이는 클라이언트가 알지 않고 서버 아이덴티티 (예 : DNS 레코드를 수정하거나 서버 IP 주소를 인수하여)를 스푸핑 할 수 있음을 의미합니다.CA) 하나의 컴퓨터 및 잎 증명서에 대한 인증서서명다른 컴퓨터의 루트 인증서에 의해. 를 사용하는 것도 가능합니다.“중간”루트 인증서 및 서명 잎 증명서에 의해 서명 된 인증서

클라이언트가 서버의 신원을 확인할 수 있도록 클라이언트에 루트 인증서와 서버의 루트 인증서에 서명 한 리프 인증서를 배치하십시오. 서버가 클라이언트의 신원을 확인할 수 있도록 서버에 루트 인증서와 클라이언트에 루트 인증서에 서명 한 리프 인증서를 배치하십시오.

일단 신뢰 체인이 설립되면 클라이언트가 서버가 보낸 리프 인증서를 검증하는 두 가지 방법이 있습니다. 매개 변수 인 경우sslmode로 설정되었습니다verify-ca, LIBPQ는 클라이언트에 저장된 루트 인증서까지 인증서 체인을 확인하여 서버가 신뢰할 수 있는지 확인합니다. 만약에sslmode로 설정되었습니다verify-full, libpq Will또한서버 호스트 이름이 서버 인증서에 저장된 이름과 일치하는지 확인하십시오. 서버 인증서를 확인할 수없는 경우 SSL 연결이 실패합니다.verify-full대부분의 보안에 민감한 환경에서 권장됩니다.

inverify-full모드, 호스트 이름은 인증서의 대체 이름 속성 (S) (SAN) 또는 SAN의 SAN이없는 경우 공통 이름 속성과 일치합니다.dnsname가 있습니다. 인증서 이름 속성이 별표로 시작하는 경우 (*), 별표는 와일드 카드로 취급되며 모든 문자와 일치합니다제외A Dot (.). 이는 인증서가 하위 도메인과 일치하지 않음을 의미합니다.iPaddress또는dnsname. 그렇지 않은 경우iPaddressSAN이 존재하고 일치하지 않습니다dnsnameSAN이 있으며, 호스트 IP 주소는 공통 이름 속성과 일치합니다.

서버 인증서 확인을 허용하려면 파일에 하나 이상의 루트 인증서를 배치해야합니다~/.범퍼카 토토/root.crt사용자의 홈 디렉토리에서. (Microsoft Windows에서 파일은 이름이입니다.%appdata%\ 범퍼카 토토 \ root.crt.) 서버에서 보낸 인증서 체인을 클라이언트에 저장된 루트 인증서에 링크 해야하는 경우 중간 인증서도 파일에 추가해야합니다.

인증서 취소 목록 (CRL) 항목도 파일이 확인됩니다~/.범퍼카 토토/root.crl존재 (%appdata%\ 범퍼카 토토 \ root.crlMicrosoft Windows에서).

연결 매개 변수를 설정하여 루트 인증서 파일 및 CRL의 위치를 ​​변경할 수 있습니다SSLROOTCERTandSSLCRL또는 환경 변수PGSSLROOTCERTandpgsslcrl. sslcrldir또는 환경 변수pgsslcrldirCRL 파일을 포함하는 디렉토리를 지정하는 데 사용될 수 있습니다.

서버가 클라이언트의 잎 증명서를 요청하여 클라이언트의 신원을 확인하려고하는 경우libpq파일에 저장된 인증서를 보냅니다~/.범퍼카 토토/범퍼카 토토.crt사용자의 홈 디렉토리에서. 인증서는 서버가 신뢰하는 루트 인증서로 체인해야합니다.~/.범퍼카 토토/범퍼카 토토.key도 참석해야합니다. Microsoft Windows 에서이 파일은입니다.%appdata%\ 범퍼카 토토 \ 범퍼카 토토.crtand%appdata%\ 범퍼카 토토 \ 범퍼카 토토.key. 인증서 및 키 파일의 위치는 연결 매개 변수에 의해 상환 될 수 있습니다.SSLCERTandsslkey또는 환경 변수pgsslcertandpgsslkey.

UNIX 시스템에서 개인 키 파일의 권한은 세계 또는 그룹에 대한 액세스를 허용하지 않아야합니다. 와 같은 명령으로 이것을 달성하십시오.Chmod 0600 ~/.범퍼카 토토/범퍼카 토토.key. 또는 파일은 루트가 소유 할 수 있으며 Group Read Access (즉,0640권한). 이 설정은 운영 체제에서 인증서 및 키 파일을 관리하는 설치를위한 것입니다.libpq그러면 해당 인증서 및 키 파일에 액세스 할 수있는 그룹 구성원이되어야합니다. (Microsoft Windows에서는이므로 파일 권한 점검이 없습니다.%appdata%\ 범퍼카 토토디렉토리가 안전하다고 추정됩니다.)

첫 번째 인증서범퍼카 토토.crt고객의 개인 키와 일치해야하므로 고객의 인증서 여야합니다.“중간”인증서는 선택적으로 파일에 추가 될 수 있습니다. 따라서 서버에서 중간 인증서를 저장 해야하는 것을 피하십시오 (SSL_CA_FILE).

인증서와 키는 PEM 또는 ASN.1 Der 형식에있을 수 있습니다.

키는 ClearText에 저장되거나에서 지원하는 알고리즘을 사용하여 암호로 암호화 될 수 있습니다OpenSSL, AES-128처럼. 키가 암호화 된 상태로 저장되면 암호화가에 제공 될 수 있습니다.sslpassword연결 옵션. 암호화 된 키가 제공되고sslpassword옵션이 없거나 비어 있으면 비밀번호가 대화식으로 표시됩니다.OpenSSLwithPEM 패스 문구를 입력하십시오 :tty를 사용할 수있는 경우 프롬프트. 응용 프로그램은 클라이언트 인증서 프롬프트와 처리를 무시할 수 있습니다.sslpassword자체 키 비밀번호 콜백을 제공하여 매개 변수; 보다PQSETSSLKEYPASSHOOK_OPENSSL.

인증서 작성에 대한 지침은 참조섹션 18.9.5.

다른 값sslmode매개 변수는 다른 수준의 보호를 제공합니다. SSL은 세 가지 유형의 공격으로부터 보호를 제공 할 수 있습니다.

알려진 SSL에 대한 연결을 위해서는 SSL 사용법을 구성해야합니다클라이언트와 서버 모두연결하기 전에. 서버에서만 구성된 경우 클라이언트는 서버에 높은 보안이 필요하다는 것을 알기 전에 민감한 정보 (예 : 비밀번호)를 전송 할 수 있습니다.sslmode매개 변수 toverify-full또는verify-ca, 시스템에 루트 인증서를 제공하여 확인할 수 있습니다. 이것은 사용과 유사합니다https URL암호화 된 웹 브라우징의 경우.

서버가 인증되면 클라이언트는 민감한 데이터를 전달할 수 있습니다. 즉,이 시점까지 클라이언트는 인증에 인증서가 사용되는지 알 필요가 없으므로 서버 구성에서만이를 지정할 수 있습니다..

allSSL옵션은 암호화 및 키 exchange의 형태로 오버 헤드를 전달하므로 성능과 보안 사이에 이루어져야하는 트레이드 오프가 있습니다..표 32.1다른 위험을 설명sslmode값은 보호 및 보안 및 오버 헤드에 대한 진술을 보호합니다.

의 차이verify-caandverify-full루트의 정책에 따라CA. 대중 인 경우CA사용됩니다.verify-ca서버에 연결할 수 있습니다.다른 사람에 등록했을 수 있습니다CA. 이 경우verify-full항상 사용해야합니다. 현지인 경우CA사용 또는 자체 서명 인증서를 사용하여verify-ca종종 충분한 보호를 제공합니다.

기본값sslmodeis선호. 테이블에 표시된 것처럼 보안 관점에서 의미가 없으며 가능한 경우 성능 오버 헤드 만 약속합니다.

표 32.2클라이언트의 SSL 설정과 관련된 파일을 요약합니다.

이전 버전의와 호환 해야하는 응용 프로그램범퍼카 토토, 사용OpenSSL버전 1.0.2 이상, 사용하기 전에 SSL 라이브러리를 초기화해야합니다. 초기화하는 응용 프로그램libssl및/또는libcrypto도서관이 전화해야PQINITOPENSSLlibpqthelibssl및/또는libcrypto라이브러리는 응용 프로그램에 의해 초기화되어libpq해당 라이브러리를 초기화하지 않습니다. 그러나 이것은 사용시 불필요합니다OpenSSL버전 1.1.0 이상, 중복 초기화가 더 이상 문제가되지 않기 때문에

의 문서를 참조하십시오범퍼카 토토사용에 대한 자세한 내용을 목표로 삼고 있습니다.