1- root kullanıcısına geç su root 2- cd /var/lib mkdir /var/lib/CA cd /var/lib/CA 1- openssl genrsa -out rootCA.key 2048 2- openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt Country Name (2 letter code) [AU]:TR State or Province Name (full name) [Some-State]:GUNGOREN Locality Name (eg, city) []:ISTANBUL Organization Name (eg, company) [Internet Widgits Pty Ltd]:GURMEN Organizational Unit Name (eg, section) []:IT Common Name (e.g. server FQDN or YOUR name) []: Email Address []: mkdir /var/lib/CA/server cd server 1- openssl genrsa -out server.key 2048 2- openssl req -new -key server.key -out server.csr Country Name (2 letter code) [AU]:TR State or Province Name (full name) [Some-State]:GUNGOREN Locality Name (eg, city) []:ISTANBUL Organization Name (eg, company) [Internet Widgits Pty Ltd]:GURMEN Organizational Unit Name (eg, section) []:IT Common Name (e.g. server FQDN or YOUR name) []:ERPDEV Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 3- openssl x509 -req -in server.csr -CA ../rootCA.crt -CAkey ../rootCA.key -CAcreateserial -out server.crt -days 5000 cd .. # bir üst klasöre yani CA aktına dön mkdir client /var/lib/CA/client altında oluştur cd /var/lib/CA/client 1- openssl genrsa -out client.key 2048 2- openssl req -new -key client.key -out client.csr Country Name (2 letter code) [AU]:TR State or Province Name (full name) [Some-State]:GUNGOREN Locality Name (eg, city) []:ISTANBUL Organization Name (eg, company) [Internet Widgits Pty Ltd]:GURMEN Organizational Unit Name (eg, section) []:IT Common Name (e.g. server FQDN or YOUR name) []:CTGURMEN Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 3- openssl x509 -req -in client.csr -CA ../rootCA.crt -CAkey ../rootCA.key -CAcreateserial -out client.crt -days 5000 ÇIKAN SONUÇ: Signature ok subject=/C=TR/ST=GUNGOREN/L=ISTANBUL/O=GURMEN/OU=IT/CN=CTGURMEN Getting CA Private Key su - postgres cd /storage/postgresql/GGdev/DATA/ - cp /var/lib/CA/rootCA.crt . #rootCA.crt sonraki "." demek şu anda bulunduğum yere kopyala demek - cp /var/lib/CA/server/server.crt . - cp /var/lib/CA/server/server.key . - chmod 600 server.key #DATA klasörünün altına yukarıda kopyaladığımız server.key rw yetkisi veriliyor 3- GGdev cluster için configuration dosyası oluştur ve içine aşağıdaki konutları yaz. postgresql.conf dosyasının içinden ise açık olan # ile kapa. sudo touch GGdev.conf bu dosyayı postgresql.conf içindeki edit edilmiş satırları belirlemek için oluşturuyoruz. cd /etc/postgresql/9.6/GGdev/ touch GGdev.conf # ek konfigürasyon dosyasını oluştur ve içine aşağıdaki satırları ekle nano GGdev.conf # nano programı ile edit et. listen_addresses = '*' # what IP address(es) to listen on; ssl=on # (change requires restart) ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers ssl_cert_file = 'server.crt' # (change requires restart) ssl_key_file = 'server.key' # (change requires restart) ssl_ca_file = 'rootCA.crt' # (change requires restart) YUKARIDAKİ KOMUTLARIN AYNISINI postgresql.conf DOSYASI IÇINDE DE GÖRECEKSIN. Oraya gidip bu satırların başına # koyarak, o komutları ETKİNSİZLEŞTİR. nano postgresql.conf #ssl=on # (change requires restart) #ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers #ssl_cert_file = '/etc/ssl/certs/ssl-cert-snakeoil.pem' # (change requires restart) #ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key' # (change requires restart) #ssl_ca_file = '' # (change requires restart) 4- pg_hba içine alttaki satırları en sona ekle nano pg_hba #secure client NOT musa kullanıcısını 6. madde de oluşturacağız. hostssl dvdrental postgres 10.100.0.0/23 md5 clientcert=1 5- cluster stop et sudo pg_ctlcluster 9.6 GGdev stop sudo pg_ctlcluster 9.6 GGdev start 6- psql ekranına düş; kullanıcı ve DVDrental database oluştur. psql -p 5433 psql (9.6.5) Type "help" for help. postgres=# CREATE ROLE musa WITH LOGIN; postgres=# CREATE DATABASE DVDrental WITH OWNER musa; 7- Oluşturulan bazı sertifikaları CLIENT tarafına kopyalıyoruz. Linux içindeki windows share dosyası sf_vboxshare olduğu için onun içibe kopyaladım sudo cp /var/lib/CA/rootCA.crt /media/sf_vboxshare/root.crt sudo cp /var/lib/CA/client/client.crt /media/sf_vboxshare/postgresql.crt sudo cp /var/lib/CA/client/client.key /media/sf_vboxshare/postgresql.key #CLIENT tarafta CA için oluşturulan dosyanın altında postgresq.key üzerinde wr - 600 yetkisi veriyoruz. windows için wr yetkisi ver. chmod 600 /postgresql.key sudo openssl x509 -req -in client.csr -CA ../../rootCA.crt -CAkey ../../rootCA.key -CAcreateserial -out client.crt -days 5000
