Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Помогите разобраться с PostgreSQL и SSL

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
gooamoko



Зарегистрирован: 26.12.2003
Сообщения: 98

СообщениеДобавлено: Пт Ноя 13 2009 06:35    Заголовок сообщения: Помогите разобраться с PostgreSQL и SSL Ответить с цитатой

Здравствуйте.

Имею Slackware 12 c установленным на нем PostgreSQL 8.4.1
Решил настроить SSL для подключения из psql и Java (JDBC).

Пробовал создавать самоподписанный сертификат для сервера (в точности так, как описано в официальном мануале), получил на выходе два файла (server.key и server.crt). С правами доступа все в порядке, сервер запускается, работает.
Дальше - сложнее. В мануале вообще не написано откуда берутся сертификат и клиентский ключ для клиента. Пробовал сгенерировать по подобию сервера - не получается. При подключении выдается Connection Requests valid client certificate (или что-то вроде, я сейчас не дома, если потребуется - скину в точности сообщение).

Потом я попробовал создать корневой самоподписанный сертификат, его добавить в список доверенных для SSL своего, далее создал приватные ключи и (подписанные моим корневым самоподписанным сертификатом) сертификаты для клиента и сервера. Все равно выдается такая же ошибка.

Что делать? Как обеспечить работу клиента...
Буквально сейчас мне пришла в голову идея... Может надо создать как в инструкции самоподписанный сертификат для сервера, а потом создавать подписанный им сертификат клиента? Может так надо...
Как быть с Java? При помощи утилиты keytool я добавляю сертификат сервера в список доверенных, но все равно выдается та же ошибка. Причем текст ошибки абсолютно идентичен и для psql и для JDBC драйвера. Это говорит либо о том, что механизм соединения одинаков (что врядли) либо о том, что проблема все-таки в сертификате сервера... но там все делал по мануалу и все равно не работает.
Посоветуйте что-нибудь. Заранее спасибо.
_________________
Что один сделал, другой завсегда сломать сможет
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
gooamoko



Зарегистрирован: 26.12.2003
Сообщения: 98

СообщениеДобавлено: Вт Ноя 17 2009 15:56    Заголовок сообщения: Ответить с цитатой

Итак - разобрался.
Сам дурак... Настроил вроде все правильно. Только в pg_hba.conf я указал для своей подсети в графе Method "cert". Собственно, из-за этого и были проблемы. Как только я поменял "cert" на "md5" в графе Method - все стало работать.
Итак, что я делал:
1. Создал корневой самоподписанный сертификат.
2. Создал частные ключи и запросы на подпись сертификата для клиента и сервера.
3. Подписал корневым сертификатом запросы на подпись для клиента и сервера.
4. Еще я сдалал корневой самоподписанный сертификат проверенным для системы. То есть, по умолчанию, система не доверяла ему, а я выполнил пару несложных действий чтобы сертификат оказался в круге доверия.

Подробнее - в моей недостатье:
http://www.gooamoko.ru/linux/postgres01.html
_________________
Что один сделал, другой завсегда сломать сможет
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...