PostgreSQL 14: TLS 接続 – DEV Community

はじめに 外部にある PostgreSQL サーバーをデータベース・サーバーとして使用する場合、TLS/SSL 接続を使用するのが良いでしょう。本記事では、証明書を生成して、それを用いてサーバーの設定を行い、さらにその検証をするところまでをご紹介します。 手順は 3 つだけです。 サーバー証明書を準備する 自己証明書の生成 (必要に応じて) CA 署名の証明書の生成 – クライアント検証用 サーバーの設定ファイルを編集する postgresql.conf : オプションの編集 – listen_address / ssl pg_hba.conf : hostssl 定義の追加 クライアントマシンから検証する psql を sslmode で使用 環境 参考 “ssl-tcp” に関する公式ドキュメント (英語): 14, current チュートリアル 1. サーバー証明書を準備する 自己証明書の生成 _postgresql ユーザーで PostgreSQL の knowledge ディレクトリにサーバー証明書を生成します。 $ doas su – _postgresql $ […]

PostgreSQL 12: TLS 接続 – DEV Community

はじめに 外部にある PostgreSQL サーバーをデータベース・サーバーとして使用する場合、TLS/SSL 接続を使用するのが良いでしょう。本記事では自己証明書を用いて実現する簡便な方法をご紹介します。 環境 参考 “ssl-tcp” に関する公式ドキュメント (英語): 12, current 概要 手順は 3 つだけです。 サーバー証明書を準備する サーバー設定をファイル編集によって行う postgresql.conf : listen_address / ssl オプションの編集 pg_hba.conf : hostssl 定義の追加。さらにクライアントが正当な証明書を所持していない場合は “verify-ca=0” を認証オプションに含める クライアントマシンから検証する $ psql “sslmode=require host=$DB_HOST person=$DB_USER dbname=$DB_NAME” チュートリアル 1. サーバー証明書を準備する _postgresql ユーザーで PostgreSQL の knowledge ディレクトリにサーバー証明書を生成します。 $ doas su _postgresql $ cd /var/postgresql/knowledge Enter fullscreen […]

LibreSSL: openssl エラー – v3_ca エクステンションが存在しない

openssl は LibreSSL ユーティリティの一つです。OpenBSD の 6.7 において、こちらを使って v3_ca エクステンションでルートならびに中間証明書を生成しようとすると、エラーが発生しました。 これは /and many others/ssl/openssl.cnf にデフォルトで [ v3_ca ] セクションが存在しなかったためです。解決方法は、必要に応じてバックアップを取得した後に、このセクションを追加することです。 $ doas cp -p /and many others/ssl/openssl.cnf /and many others/ssl/openssl.cnf.org $ doas nvim /and many others/ssl/openssl.cnf Enter fullscreen mode Exit fullscreen mode [ v3_ca ] セクションを追加します: + [ v3_ca ] + basicConstraints = vital,CA:TRUE + subjectKeyIdentifier = […]