Das Universitätsrechenzentrum betreibt einen zentralen PostgreSQL-Datenbankserver, bei dem man im IdM-Portal Datenbanken im Selbstbedienungsverfahren bestellen kann. Am Donnerstag, den 22. August2024 werden wir ab 11:00 Uhr am Server eine Konfigurationsänderung vornehmen, die dazu führt, dass der Server nur noch verschlüsselte Verbindungen akzeptieren wird. Prinzipiell sind verschlüsselte Verbindungen bereits seit Langem möglich und werden auch von den Client-Programmen in der Voreinstellung genutzt.
Sichere Konfiguration der Client-Programme
Die Voreinstellung der Client-Programme nutzt zwar Verschlüsselung für die Verbindungen, prüft allerdings nicht die Echtheit des Servers. Für Sie bedeutet das, dass Sie beim Verbindungsaufbau zu einer PostgreSQL-Datenbank immer die Verbindungsparameter sslmode
und sslrootcert
setzen müssen.
Wir empfehlen folgende Einstellungen:
sslmode=verify-full
Dies weist den Client an, Verschlüsselung zu nutzen und das Serverzertifikat zu prüfensslrootcert=/etc/ssl/certs/ca-certificates.crt
dies konfiguriert den Pfad zum Zertifikatsspeicher des Systems. Der angegebene Pfad ist für Debian- und Ubuntu-Linux-Systeme richtig. Bei anderen Betriebssystemen ist der Pfad zum Zertifikatsspeicher möglicherweise ein anderer und muss angepasst werden.
Falls die Client-Programme diese Einstellungen nicht direkt erlauben, können alternativ die Umgebungsvariablen PGSSLMODE
und PGSSLROOTCERT
genutzt werden. Weitere Informationen zu möglichen Einstellungen finden Sie in der PostgreSQL-Dokumentation. Bei Fragen stehen wir Ihnen gerne über unsere Support-Adresse zur Verfügung.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.