Re: почему psql не юзает /etc/ssl/certs/ ?
On Tue, 1 Jun 2010 10:23:57 +0400
Victor Wagner <vitus@wagner.pp.ru> wrote:
> On 2010.06.01 at 08:33:01 +0800, Denis Feklushkin wrote:
>
> > а требует чтобы ей указали конкретно пути к файлам:
> >
> > ~/.postgresql/postgresql.crt
> > ~/.postgresql/postgresql.key
> > ~/.postgresql/root.crt
> > ~/.postgresql/root.crl
> >
> > ?
> >
> > жутко неудобно. думал, сделаю на сервере сертификат честный и забуду о проблеме. ан нет, придётся настраивать всех клиентов
>
> Вашему приложению для работы с БД точно надо доверять ВСЕМ
> удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
да, честный сертификат в startcom сделали, его знают все дебианы и убунты из коробки
> Хром-то понятно - он браузер, он ходит на чьи попало сайты.
в том то и дело что хром на линуксе юзает /etc/ssl, как и Firefox. Я даже удивился
> И у него
> есть основания доверят Verisign-у. lynx и wget тоже доверяют этим
> сертификатам.
>
> А авторы PostgreSQL решили что общение клиента БД с сервером БД это
> исключительно внутрикорпоративныи интимный процесс, и негоже доверять
> кому попало в этом вопросе.
ну там TLS вроде обещан
> Кстати, вот закрытый ключ там НЕ ОБЯЗАН лежать в
> ~/.postgresql/postgresql.key.
это ключ клиента. там есть ещё проверка клиента по сертификату
> Есть переменная environment которая
> позволяет это переопределить. В основном для того, чтобы ключик мог
> лежать на аппаратном токене.
Reply to: