国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<legend id="xdneh"></legend>

<meter id="xdneh"></meter>

<legend id="xdneh"></legend><optgroup id="xdneh"></optgroup>

<video id="xdneh"></video>

等保: Postgresql配置ssl鏈接

2年前作者：CwSunlit分類(lèi)：Toy博客閱讀(22)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了等保: Postgresql配置ssl鏈接。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

1 說(shuō)明

公司某SaaS平臺(tái)需要進(jìn)行等保評(píng)測(cè)，要求pg數(shù)據(jù)庫(kù)必須使用ssl鏈接。

整個(gè)ssl方案的調(diào)整包括pg數(shù)據(jù)庫(kù)端的證書(shū)調(diào)整和使用pg數(shù)據(jù)庫(kù)的服務(wù)的調(diào)整，如下的操作中以Java服務(wù)為例進(jìn)行說(shuō)明。

如下的操作中pg的運(yùn)行用戶(hù)是postgres，參考本方案的時(shí)候根據(jù)實(shí)際情況修改即可。

服務(wù)連接pg數(shù)據(jù)庫(kù)的用戶(hù)是pg
運(yùn)行pg庫(kù)的用戶(hù)是postgres

2 操作步驟

2.1 數(shù)據(jù)庫(kù)端調(diào)整

2.1.1 生成服務(wù)端證書(shū)

生成證書(shū)key文件


[postgres@localhost ~]$ cd /data/app/postgresql/
[postgres@localhost postgresql]$ ls
bin  include  lib  lib.bak  share
[postgres@localhost postgresql]$ mkdir certs
[postgres@localhost postgresql]$ cd certs/
[postgres@localhost certs]$ openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
......................+++
.......................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: certpass
Verifying - Enter pass phrase for server.key:  certpass

移除密碼


[postgres@localhost certs]$ openssl rsa -in server.key -out server.key
Enter pass phrase for server.key: certpass
writing RSA key

生成證書(shū)


[postgres@localhost certs]$ openssl req -new -key server.key -days 36500 -out server.crt -x509
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Hebei
Locality Name (eg, city) [Default City]:langfang
Organization Name (eg, company) [Default Company Ltd]:ltd
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:localhost
Email Address []:

生成根證書(shū) 由于沒(méi)有公證機(jī)構(gòu)提供，只能使用自簽名證書(shū)，因此可以將服務(wù)器證書(shū)作為根證書(shū)

$ cp server.crt root.crt

2.1.2 配置證書(shū)

pg配置文件postgresql.conf增加ssl整數(shù)配置項(xiàng)

ssl=on
ssl_ca_file='/data/app/postgresql/certs/root.crt'
ssl_key_file='/data/app/postgresql/certs/server.key'
ssl_cert_file='/data/app/postgresql/certs/server.crt'

更改pg庫(kù)連接授權(quán) 配置文件為pg_hba.conf
如下這行添加到最上邊

hostssl all             pg      all                     cert

證書(shū)文件權(quán)限調(diào)整

[postgres@localhost postgresql-12.8]$ cd /data/app/postgresql/certs
[postgres@localhost certs]$ ls
root.crt  server.crt  server.key
[postgres@localhost certs]$ chmod 0600 ./*

重啟數(shù)據(jù)庫(kù)

bash /data/app/scripts/postgresql restart

2.1.3 生成客戶(hù)端證書(shū)

客戶(hù)端需要三個(gè)文件: root.crt(根證書(shū))、postgresql.crt(客戶(hù)端證書(shū))、postgresql.key(客戶(hù)端私鑰)

生成客戶(hù)端私鑰

[postgres@localhost ~]$ cd /data/app/postgresql/certs/
[postgres@localhost certs]$ openssl genrsa -des3 -out postgresql.key 2048
Generating RSA private key, 2048 bit long modulus
....................................+++
..+++
e is 65537 (0x10001)
Enter pass phrase for postgresql.key: certpass
Verifying - Enter pass phrase for postgresql.key: certpass

移出密碼

[postgres@localhost certs]$ openssl rsa -in postgresql.key -out postgresql.key
Enter pass phrase for postgresql.key: certpass
writing RSA key

生成客戶(hù)端csr

[postgres@localhost certs]$ openssl req -new -key postgresql.key -out postgresql.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:pg
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

生成客戶(hù)端證書(shū)

[postgres@localhost certs]$ openssl x509 -req -days 36500 -in postgresql.csr -CA root.crt -CAkey server.key -out postgresql.crt -CAcreateserial
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd/CN=pg
Getting CA Private Key

2.2 使用pg庫(kù)的服務(wù)端調(diào)整

在Java - jdbc中，客戶(hù)端密鑰必須是用pk8的格式，需要轉(zhuǎn)換一下。

openssl pkcs8 -topk8 -inform PEM -outform DER -nocrypt -in postgresql.key -out postgresql.pk8

將證書(shū)文件導(dǎo)入到服務(wù)目錄下假如是服務(wù)目錄下的certs目錄
/usr/local/service_name/certs

修改jdbc鏈接

ssl=true&sslmode=verify-ca&sslcert=/usr/local/service_name/certs/postgresql.crt&sslkey=/usr/local/service_name/certs/postgresql.pk8&sslrootcert=/usr/local/service_name/certs/root.crt

重啟java服務(wù)

3 避坑指南

3.1 證書(shū)核驗(yàn)通不過(guò)的情況

問(wèn)題描述

按照上述操作后，如果pg沒(méi)有配置session_exec，應(yīng)該是沒(méi)問(wèn)題的。
如果配置了session_exec，參考文檔等保: pg配置session_exec
那么由于證書(shū)核驗(yàn)不通過(guò)，會(huì)鎖定鏈接用戶(hù)，導(dǎo)致應(yīng)用程序無(wú)法正常使用pg數(shù)據(jù)庫(kù)。

具體的核驗(yàn)命令有兩個(gè)

命令一驗(yàn)證客戶(hù)端證書(shū)是否與根證書(shū)匹配
openssl verify -CAfile root.crt -purpose sslclient postgresql.crt

命令二驗(yàn)證證書(shū)是否可以用于登錄

psql是不能在命令行直接以這種方式使用證書(shū)的: psql --sslmode=verify-full --sslcert=
psql使用證書(shū)連接的命令行方式如下等同于上述的–sslmode的參數(shù)模式

psql 'host=10.21.0.173 port=5432 dbname=postgres user=postgres sslmode=verify-full sslcert=postgresql.crt sslkey=postgresql.key sslrootcert=root.crt'

命令一的正常返回為

postgresql.crt: OK

命令二的正常返回為: 直接進(jìn)入pg數(shù)據(jù)庫(kù)

修復(fù)措施

在2.1的步驟中生成服務(wù)端證書(shū)的時(shí)候 Common Name字段必須設(shè)置為數(shù)據(jù)庫(kù)的ip地址，必須是ip地址，vip不可以。
在2.1的步驟中，生成客戶(hù)端證書(shū)的時(shí)候 Common Name字段必須設(shè)置為連接數(shù)據(jù)庫(kù)的用戶(hù)名，否則會(huì)使用服務(wù)所在主機(jī)的主機(jī)名連接。

注意上述兩個(gè)點(diǎn)后重新生成證書(shū)并配置即可

被這個(gè)問(wèn)題困擾了很久最后通過(guò)這樣的方式解決的實(shí)測(cè)沒(méi)問(wèn)題不會(huì)再鎖定用戶(hù)文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-423132.html

到了這里，關(guān)于等保: Postgresql配置ssl鏈接的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

網(wǎng)站三級(jí)等保該怎么做？有哪些需要注意的？
三級(jí)等保是信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)中的一個(gè)級(jí)別，部分網(wǎng)站需要過(guò)等保三級(jí)，那么等保三級(jí)是怎么做的?又有哪些需要注意的問(wèn)題呢?以下是詳細(xì)的內(nèi)容：網(wǎng)站等保三級(jí)辦理流程如下： 1、系統(tǒng)分級(jí)，可獨(dú)立分級(jí)，也可以找等保測(cè)評(píng)公司進(jìn)行咨詢(xún); 2、系統(tǒng)備案，可
2024年02月05日
瀏覽(20)
等保二級(jí)必須要上的設(shè)備有哪些？需要堡壘機(jī)嗎？
等保二級(jí)屬于指導(dǎo)保護(hù)級(jí)，是指信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。企業(yè)過(guò)等保常見(jiàn)等級(jí)為等保二級(jí)和等保三級(jí)。那你知道等保二級(jí)必須要上的設(shè)備有哪些？需要堡壘機(jī)嗎？
2023年04月21日
瀏覽(18)
漏刻有時(shí)地理信息系統(tǒng)LOCKGIS小程序配置說(shuō)明(web-view組件、服務(wù)器域名配置、復(fù)制鏈接和轉(zhuǎn)發(fā)功能)
漏刻有時(shí)地理信息系統(tǒng)說(shuō)明文檔(LOCKGIS、php后臺(tái)管理、三端一體PC-H5-微信小程序、百度地圖jsAPI二次開(kāi)發(fā)、標(biāo)注彈窗導(dǎo)航) 漏刻有時(shí)地理信息系統(tǒng)LOCKGIS小程序配置說(shuō)明(web-view組件、服務(wù)器域名配置、復(fù)制鏈接和轉(zhuǎn)發(fā)功能) 漏刻有時(shí)地理信息系統(tǒng)LOCKGIS主程序配置說(shuō)明(地圖調(diào)起彈
2024年02月07日
瀏覽(20)
公司創(chuàng)建百度百科需要哪些內(nèi)容？
一個(gè)公司或是一個(gè)品牌想要讓自己更有身份，更有知名度，更有含金量，百度百科詞條是必不可少的。通過(guò)百度百科展示公司的詳細(xì)信息，有助于增強(qiáng)用戶(hù)對(duì)公司的信任感，提高企業(yè)形象。通過(guò)百度百科展示公司的發(fā)展歷程、領(lǐng)導(dǎo)團(tuán)隊(duì)、企業(yè)榮譽(yù)等，可以彰顯公司的實(shí)力和行
2024年02月03日
瀏覽(27)
【uniapp】史上最詳細(xì)手動(dòng)配置ios平臺(tái)通用鏈接 Universal Link 設(shè)置
1.先去蘋(píng)果開(kāi)發(fā)平臺(tái)開(kāi)啟服務(wù)“Certificates, Identifiers Profiles”頁(yè)面選擇“Identifiers”中選擇對(duì)應(yīng)的App ID，確保開(kāi)啟Associated Domains，然后重新生成profile后續(xù)打包時(shí)用 2.第二步再u(mài)napp項(xiàng)目根目錄創(chuàng)建apple-app-site-association文件注意此文件不要帶后綴，（如果你使用了uniapp的自動(dòng)生成io
2024年02月11日
瀏覽(26)
【Python爬蟲(chóng)實(shí)戰(zhàn)】1.爬取A股上市公司年報(bào)鏈接并存入Excel
?數(shù)據(jù)來(lái)源：巨潮資訊 ?項(xiàng)目需求：按照股票代碼，公司名稱(chēng)，年報(bào)全稱(chēng)，年份，下載鏈接等要素寫(xiě)入excel表 ?使用語(yǔ)言：python ?第三方庫(kù)：requests, re , time等成品展示：? 廢話就到這里，直接開(kāi)干！ 1.尋找接口眾所周知，爬取網(wǎng)頁(yè)數(shù)據(jù)一般可以通過(guò)尋找網(wǎng)頁(yè)結(jié)構(gòu)規(guī)律和爬取接
2024年02月04日
瀏覽(23)
如何異地鏈接Pycharm服務(wù)器進(jìn)行遠(yuǎn)程開(kāi)發(fā)并實(shí)現(xiàn)與公司服務(wù)器資源同步
本文主要介紹如何使用Pycharm進(jìn)行遠(yuǎn)程開(kāi)發(fā)，并實(shí)現(xiàn)在家遠(yuǎn)程與公司服務(wù)器資源同步。新版本 Jetbrains 系列開(kāi)發(fā)IDE（ IntelliJ IDEA ， PyCharm ， GoLand ）等都支持遠(yuǎn)程使用服務(wù)器編譯，并且可以通過(guò)SFTP同步本地與服務(wù)器項(xiàng)目代碼。這樣做的好處是**我們只要連接上服務(wù)器就能開(kāi)始
2024年02月01日
瀏覽(28)
PostgreSQL+SSL鏈路測(cè)試
SSL一個(gè)各種證書(shū)在此就不詳細(xì)介紹了，PostgreSQL要支持SSL的前提需要打開(kāi)openssl選項(xiàng)，包括客戶(hù)端和服務(wù)器端。測(cè)試過(guò)程。 1. 生成私鑰 root用戶(hù)： ?2. 生成公鑰證書(shū) ?3. 配置PG服務(wù)器部分，我的PG服務(wù)器是在postgres134用戶(hù)下，因此需要 ?su - postgres134 ?在PG的PGDATA目錄中需要生成三
2024年02月11日
瀏覽(17)
postgresql 啟用ssl安全連接方式
直接 cp ca.crt root.crt 使用ca的就可以。我們一般會(huì)配置ssl、ssl_cert_file、ssl_key_file這三個(gè)，其他的一般維持默認(rèn)值。這是三個(gè)參數(shù)分別的含義如下： ssl: 是否支持SSL連接。默認(rèn)是關(guān)閉的。 ssl_cert_file:指定包含SSL服務(wù)器證書(shū)的文件的名稱(chēng)。默認(rèn)是server.crt。相對(duì)路徑相對(duì)于數(shù)據(jù)目錄
2024年02月05日
瀏覽(43)
基于Python實(shí)現(xiàn)Midjourney集成到（個(gè)人/公司）平臺(tái)中
目前Midjourney沒(méi)有對(duì)外開(kāi)放Api，想體驗(yàn)他們的服務(wù)只能在discord中進(jìn)入他們的頻道進(jìn)行體驗(yàn)或者把他們的機(jī)器人拉入自己創(chuàng)建的服務(wù)器中；而且現(xiàn)在免費(fèi)的也用不了了，想使用就得訂閱。本教程使用midjourney-api這個(gè)開(kāi)源項(xiàng)目，搭建Midjourney相關(guān)接口服務(wù)，以集成到個(gè)人平臺(tái)中~ 本文
2024年02月20日
瀏覽(19)