|
Documentação do postgresql 8 em portugues tras o seguinte:
Para aumentar a segurança criptografando as comunicações cliente/servidor, o PostgreSQL possui suporte nativo para conexões SSL. É necessário que o OpenSSL esteja instalado tanto no cliente quanto no servidor, e que o suporte no PostgreSQL tenha sido habilitado em tempo de construção . Uma vez compilado com suporte a SSL o servidor PostgreSQL pode ser inicializado com SSL habilitado, definindo noarquivo postgresql.conf o parâmetro ssl com o valor on. Quando inicializado no modo SSL, o servidor procura pelosarquivos server.key e server.crt no diretório de dados, que devem conter a chave privada do servidor e o certificado,respectivamente. Estes arquivos devem ser configurados de forma correta para que o servidor possa ser inicializado com SSL habilitado. Se a chave privada estiver protegida por uma frase-senha ( passphrase), o servidor solicitará esta frasesenha,não inicializando até que seja fornecida. O servidor atende tanto as conexões comuns quanto as conexões SSL na mesma porta TCP, e negocia com o cliente conectando se vai usar ou não o SSL. Por padrão esta é uma opção do cliente; deve ser visto na Seção 19.1 como configurar o servidor para que seja requerido o uso do SSL para algumas ou para todas as conexões. Para obter detalhes sobre como criar a chave privada do servidor e o certificado, deve ser consultada a documentação do OpenSSL. Pode ser utilizado para testes um certificado auto-assinado, mas no ambiente de produção deve ser utilizado um certificado assinado por uma autoridade certificadora (CA) (por uma CA global ou por uma local), para que o cliente possa verificar a identidade do servidor. Para criar rapidamente um certificado auto-assinado pode ser utilizado o seguinte comando do OpenSSL: openssl req -new -text -out server.req Devem ser fornecidas as informações solicitadas pelo openssl. Assegure-se de especificar Common Name como nomedo hospedeiro local; a senha desafio ( challenge password) pode ser deixada em branco. O programa gera uma chaveque é protegida por uma frase-senha; não é aceita uma frase-senha com menos de quatro caracteres. Para remover a frasesenha (o que deve ser feito se for desejada uma inicialização automática do servidor), devem ser executados os comandos: openssl rsa -in privkey.pem -out server.key rm privkey.pem Deve ser fornecida a frase-senha antiga para desbloquear a chave existente. Agora deve ser executado openssl req -x509 -in server.req -text -key server.key -out server.crt chmod og-rwx server.key para tornar o certificado um certificado auto-assinado, e para copiar a chave e o certificado para onde o servidor procura pelos mesmos. Se for requerida a verificação dos certificados cliente, devem ser colocados no arquivo root.crt no diretório de dados oscertificados das CA(s) que se deseja verificar. Quando presente, é requisitado do cliente um certificado cliente durante a inicialização da conexão SSL, que deve ter sido assinado por um dos certificados presentes no arquivo root.crt.Quando o arquivo root.crt não está presente, os certificados cliente não são requeridos nem verificados. Neste modo oSSL fornece segurança para a comunicação, mas não para autenticação. Os arquivos server.key, server.crt e root.crt são examinados apenas durante a inicialização do servidor; oservidor deve ser reinicializado para que as alterações feitas nestes arquivos tenham efeito.
espero ter dado uma ajuda ai! ----- Original Message -----
|
_______________________________________________ Grupo de Usuários do PostgreSQL no Brasil Antes de perguntar consulte o manual http://pgdocptbr.sourceforge.net/
Para editar suas opções ou sair da lista acesse a página da lista em: http://pgfoundry.org/mailman/listinfo/brasil-usuarios
