4.5. PostgreSQL サーバーにおける TLS 暗号化の設定

前提条件

• PostgreSQL サーバーがインストールされている
• データベースクラスターが初期化されている
• サーバーが RHEL 9.2 以降を実行し、FIPS モードが有効になっている場合、クライアントが Extended Master Secret (EMS) 拡張機能をサポートしているか、TLS 1.3 を使用している必要があります。EMS を使用しない TLS 1.2 接続は失敗します。詳細は、Red Hat ナレッジベースソリューション TLS extension "Extended Master Secret" enforced on RHEL 9.2 and later を参照してください。

検証

• 接続が暗号化されていることを手動で確認するには、以下を行います。

  1. mydbuser ユーザーとして PostgreSQL データベースに接続し、ホスト名とデータベース名を指定します。

     $ psql -U mydbuser -h 127.0.0.1 -d mydatabase
     Password for user mydbuser:

     mydatabase をデータベース名に、mydbuser をユーザー名に置き換えます。

  2. 現在のデータベース接続に関する情報を取得します。

     mydbuser=> \conninfo
     You are connected to database "mydatabase" as user "mydbuser" on host "127.0.0.1" at port "5432".
     SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, bits: 256, compression: off)

• PostgreSQL への接続が暗号化されているかどうかを検証する簡単なアプリケーションを作成できます。この例は、libpq-devel パッケージで提供される libpq クライアントライブラリーを使用する C で記述されたアプリケーションを示しています。

  #include <stdio.h>
  #include <stdlib.h>
  #include <libpq-fe.h>
  
  int main(int argc, char* argv[])
  {
  //Create connection
  PGconn* connection = PQconnectdb("hostaddr=127.0.0.1 password=mypassword port=5432 dbname=mydatabase user=mydbuser");
  
  if (PQstatus(connection) ==CONNECTION_BAD)
      {
      printf("Connection error\n");
      PQfinish(connection);
      return -1; //Execution of the program will stop here
      }
      printf("Connection ok\n");
      //Verify TLS
      if (PQsslInUse(connection)){
       printf("TLS in use\n");
       printf("%s\n", PQsslAttribute(connection,"protocol"));
      }
      //End connection
      PQfinish(connection);
      printf("Disconnected\n");
      return 0;
  }

  mypassword をパスワードに、mydatabase をデータベース名に、mydbuser をユーザー名に置き換えます。

  注記

  -lpq オプションを使用して、コンパイルのために pq ライブラリーをロードする必要があります。たとえば、GCC コンパイラーを使用してアプリケーションをコンパイルするには、次のようにします。

  $ gcc source_file.c -lpq -o myapplication

  この source_file.c には上記のサンプルコードが含まれており、myapplication はセキュアな PostgreSQL 接続を検証するためのアプリケーションの名前です。