En este artículo vamos a explicar como podemos configurar PostgreSQL 8.4 para realizar conexiones seguras a nuestras bases de datos utilizando SSL.

Vamos a ver dos aspectos diferentes e independientes en el tema de las conexiones seguras, el primero es como cifrar el tráfico entre nuestros clientes y el servidor, y el segundo, como autentificar a los clientes/usuarios mediante certificados digitales.

Con el cifrado del tráfico entre los clientes y el servidor evitamos que alguien pueda interceptar el tráfico de red y conseguir los datos que viajan por la conexión. Con la autentificación por medio de certificados digitales evitamos que clientes/usuarios que no tengan instalado el certificado correspondiente puedan conectarse a nuestro servidor, incluso si lo hacen cifrando el tráfico de red.

PostgreSQL soporta nativamente el uso de conexiones SSL para cifrar las comunicaciones, el único requerimiento es tener OpenSSL instalado en nuestro servidor y PostgreSQL compilado con soporte SSL. El soporte SSL durante la compilación se consigue usando el parametro --with-ssl con ./configure antes de compilar. Más información sobre la instalación desde el código fuente se puede encontrar en el artículo Instalación e inicialización básica de PostgreSQL desde el código fuente. Los paquetes binarios disponibles para Unix/Linux y Windows suelen ser compilados con soporte SSL.

Para activar el soporte SSL en un sistema que cumple los requerimientos que hemos nombrado hay que hacer tres cosas:

• Definir el parámetro ssl en el fichero postgresql.conf
• Instalar el certificado de nuestro servidor, la clave privada correspondiente, el certificado CA y un fichero crl con la lista de certificados revocados, en el directorio de datos PGDATA
• Arrancar de nuevo el servidor PostgreSQL

Una vez que tenemos el soporte SSL instalado y activado hay que configurar en el fichero pg_hba.conf que conexiones van a utilizar SSL para cifrar el tráfico y/ó autentificarse con un certificado digital.

Una cosa buena de PostgreSQL en lo referente al uso de SSL para cifrar las conexiones, es que el servidor PostgreSQL escucha por conexiones estándares (no-SSL) y SSL por el mismo puerto y negocia automáticamente con el cliente el uso de SSL ó no dependiendo de lo definido en pg_hba.conf.

Vamos a ver por pasos como configurar todo lo necesario.

Certificados

Lo primero que necesitamos es el certificado SSL que vamos a usar en nuestro servidor, la correspondiente clave privada, el certificado CA y un fichero crl.

Normalmente los certificados digitales se suelen comprar a una entidad emisora y están vigentes por un determinado periodo de tiempo. Estos certificados están firmados por una autoridad de certificación (CA) la cual es una entidad de confianza, responsable de emitir y revocar certificados digitales.

Si las conexiones que van a usar SSL son internas y locales, no hace falta pagar a una autoridad de certificación para que emita y firme nuestros certificados con su certificado CA. Nosotros mismos podemos generar el certificado y firmarlo como un CA local. Para esto tenemos que hacer lo siguiente:

• Instalar la infraestructura necesaria para ser una CA local
• Generar un certificado y llave CA que utilizaremos para firmar los certificados que vayamos a usar en nuestros sistemas
• Generar el certificado y la llave que el servidor PostgreSQL necesita
• Firmar nuestro certificado del servidor con el CA que hemos generado

Instalar la infraestructura necesaria para ser una CA local

Primero tenemos que instalar openssl en nuestro ordenador, para esto podemos utilizar el sistema de instalación por defecto de nuestro sistema operativo.

A continuación creamos como root el directorio que albergará la infraestructura CA:

# mkdir -m 0755 /etc/CA_local

Después creamos los subdirectorios que necesitaremos dentro de /etc/CA_local

# mkdir -m 0755 \
     /etc/CA_local \
     /etc/CA_local/private \
     /etc/CA_local/certs \
     /etc/CA_local/newcerts \
     /etc/CA_local/crl

Ahora copiamos el fichero de configuración global de openssl (/etc/ssl/openssl.cnf en mi sistema) a nuestro directorio CA_local.

# cp /etc/ssl/openssl.cnf /etc/CA_local/openssl.local.cnf
# chmod 0600 /etc/CA_local/openssl.local.cnf

A continuación teneis que actualizar el fichero /etc/CA_local/openssl.local.cnf. En la sección [ CA_default ], cambiar los parámetros dir, certificate y private_key a lo siguiente:

dir             = /etc/CA_local              # Where everything is kept
certificate     = $dir/certs/local_ca.crt    # The CA certificate
private_key     = $dir/private/local_ca.key  # The private key

Tambien necesitamos tres ficheros extras que podemos crear de la siguiente manera:

# touch /etc/CA_local/index.txt
# echo '01' > /etc/CA_local/serial
# echo '01' > /etc/CA_local/crlnumber

Generar un certificado y llave CA y un fichero crl con la lista de certificados revocados

Primero vamos a crear un certificado CA que utilizaremos para firmar los certificados que usemos localmente en nuestros sistemas.

# cd /etc/CA_local/
# openssl req -config openssl.local.cnf -new -x509 -extensions v3_ca \
          -keyout private/local_ca.key -out certs/local_ca.crt -days 1825

Este último comando creará un certificado CA autofirmado con una validez de 5 años. Tendreis que definir una contraseña para la llave privada CA (no olvidar esta contraseña!! ya que se necesitará cada vez que usemos el certificado local CA) y rellenar algunos parámetros para vuestro sistema. En mi sistema de ejemplo, estos son los datos introducidos.

Generating a 1024 bit RSA private key
...................++++++
writing new private key to 'private/local_ca.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be
incorporated into your certificate request.  What you are about to
enter is what is called a Distinguished Name or a DN.  There are quite
a few fields but you can leave some blank For some fields there will
be a default value, If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NO
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:Oslo
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PostgreSQL-es.org
Organizational Unit Name (eg, section) []:.
Common Name (eg, YOUR name) []:postgresql-es.org
Email Address []:webmaster@postgresql-es.org

Una vez realizado estos pasos se habrán creado dos ficheros en vuestro sistema:

• /etc/CA_local/certs/local_ca.crt: Certificado CA local. Se puede distribuir públicamente y todo el mundo puede acceder al mismo sin problemas de seguridad.
• /etc/CA_local/private/local_ca.key: Llave CA privada. Se tiene que restringir el acceso a la misma ( chmod 0400 /etc/CA_local/private/local_ca.key) y no se puede distribuir públicamente.

El fichero CRL (Certificate Revocation List) con la lista de certificados revocados por este CA lo podeis crear con:

openssl ca -config openssl.local.cnf -keyfile private/local_ca.key \
       -cert certs/local_ca.crt -gencrl -out crl/local_ca.crl

Y comprobarlo y verificarlo con:

openssl crl -in crl/local_ca.crl -text -noout

Crear una solicitud de certificado para el servidor

Tenemos que generar una solicitud de certificado (server.csr) para generar un certificado que se pueda usar en nuestro servidor. Para ello podemos utilizar los siguientes comandos:

# cd /etc/CA_local/
# openssl req -config openssl.local.cnf -new -nodes \
          -keyout private/ejemplo.postgresql-es.org.key \
          -out ejemplo.postgresql-es.org.csr -days 730

Con esto generamos la solicitud de certificado con una validez de 2 años, después de rellenar algunos parámetros de nuestro sistema. En nuestro ejemplo, estos son los datos introducidos.

Generating a 1024 bit RSA private key
.........++++++
............................++++++
writing new private key to 'private/server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NO
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:Oslo
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PostgreSQL-es.org
Organizational Unit Name (eg, section) []:.
Common Name (eg, YOUR name) []:ejemplo.postgresql-es.org
Email Address []:webmaster@postgresql-es.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Los parámetros a rellenar más importantes son "Common Name" y "Email Address". "Common Name" debería de tener el nombre de la máquina que va a estar utilizando el certificado, "Email Address" es la dirección de contacto de vuestro sistema.

No teneis que introducir nada en los parametros "challenge password" y "optional company name" del final. Hemos utilizado el parámetro -nodes para no tener que proteger nuestra llave privada con una contraseña y no tener que escribir una contraseña cada vez que arranquemos un servicio que use el certificado. Por ello es muy importante no perder ó publicar el fichero con la llave privada.

Firmar nuestra solicitud de certificado con nuestro CA para generar el certificado final

Una vez que tenemos la solicitud de certificado (server.csr), vamos a firmarla con nuestro certificado CA. Para ello utilizamos este comando:

# cd /etc/CA_local/
# openssl ca -config openssl.local.cnf -policy policy_anything \ 
          -days 730 -out certs/ejemplo.postgresql-es.org.crt \
          -infiles ejemplo.postgresql-es.org.csr

Tendremos que utilizar la contraseña que usamos cuando creamos el certificado CA para terminar de firmar nuestro certificado:

Using configuration from openssl.local.cnf
Enter pass phrase for /etc/CA_local/private/local_ca.key:
Check that the request matches the signature
Signature ok
Certificate Details:
     Serial Number: 1 (0x1)
     Validity
         Not Before: Nov 30 20:05:18 2009 GMT
         Not After : Nov 30 20:05:18 2011 GMT
     Subject:
         countryName               = NO
         localityName              = Oslo
         organizationName          = PostgreSQL-es.org
         commonName                = ejemplo.postgresql-es.org
         emailAddress              = webmaster@postgresql-es.org
     X509v3 extensions:
         X509v3 Basic Constraints: 
             CA:FALSE
         Netscape Comment: 
             OpenSSL Generated Certificate
         X509v3 Subject Key Identifier: 
             58:40:FC:0A:85:C7:58:9D:9D:66:8A:7F:0A:CB:46:65:CD:A2:92:20
         X509v3 Authority Key Identifier: 
             keyid:54:11:C7:CD:1A:1D:54:01:42:D1:FC:1A:1A:DD:ED:B5:5E:E6:89:BF

Certificate is to be certified until Nov 30 20:05:18 2011 GMT (730 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Vamos a asegurar mejor la clave privada del certificado. Este fichero es privado y no se debe de distribuir:

# chown root:root /etc/CA_local/private/ejemplo.postgresql-es.org.key
# chmod 0400 /etc/CA_local/private/ejemplo.postgresql-es.org.key

Podeis ver la información contenida en el certificado con este comando:

# cd /etc/CA_local/
# openssl x509 -in certs/ejemplo.postgresql-es.org.crt -noout -text

Y comprobar y verificar el certificado con el siguiente comando:

# cd /etc/CA_local/
# openssl verify -purpose sslserver -CAfile /etc/CA_local/certs/local_ca.crt \
        /etc/CA_local/certs/ejemplo.postgresql-es.org.crt

El fichero de solicitud de certificado ya no lo necesitais y lo podeis borrar

# rm /etc/CA_local/ejemplo.postgresql-es.org.csr

Esto es todo lo que necesitais saber sobre certificados si quereis hacerlo todo vosotros para uso local/privado. Al final de todo el proceso tendreis los siguientes ficheros en el directorio /etc/CA_local

• /etc/CA_local/certs/local_ca.crt: Certificado CA local que podeis utilizar para firmar otros certificados.
• /etc/CA_local/certs/ejemplo.postgresql-es.org.crt: Certificado firmado por el CA local que vamos a usar en ejemplo.postgresql-es.org
• /etc/CA_local/private/local_ca.key: Llave privada del certificado CA local
• /etc/CA_local/private/ejemplo.postgresql-es.org.key: Llave privada del certificado firmado por el CA local y que vamos a usar en ejemplo.postgresql-es.org
• /etc/CA_local/crl/local_ca.crl: Fichero CRL (Certificate Revocation List) con la lista de certificados revocados

Configuración de PostgreSQL para usar SSL

Una vez que tenemos todos los certificados que necesitamos, tenemos que configurar PostgreSQL para activar y usar SSL.

Lo primero que hacemos es copiar los ficheros /etc/CA_local/certs/ejemplo.postgresql-es.org.crt, /etc/CA_local/private/ejemplo.postgresql-es.org.key, /etc/CA_local/certs/local_ca.crt y /etc/CA_local/crl/local_ca.crl al directorio de datos de nuestra instalación PostgreSQL. En nuestro ejemplo tenemos el directorio de datos en /var/pgsql-8.4/data

# cp /etc/CA_local/certs/ejemplo.postgresql-es.org.crt \
     /var/pgsql-8.4/data/server.crt

# cp /etc/CA_local/private/ejemplo.postgresql-es.org.key \
     /var/pgsql-8.4/data/server.key

# cp /etc/CA_local/certs/local_ca.crt /var/pgsql-8.4/data/root.crt
# cp /etc/CA_local/crl/local_ca.crl /var/pgsql-8.4/data/root.crl

# chown postgres:postgres /var/pgsql-8.4/data/server.*
# chown postgres:postgres /var/pgsql-8.4/data/root.*
# chmod 0400 /var/pgsql-8.4/data/server.*
# chmod 0400 /var/pgsql-8.4/data/root.*

Después tenemos que actualizar nuestro fichero /var/pgsql-8.4/data/postgresql.conf. Tenemos que cambiar el valor del parametro ssl.

ssl = on

Y arrancar PostgreSQL de nuevo usando el script det arranque de nuestro sistema. En nuestro servidor ejemplo ejecutamos esto:

/etc/init.d/postgresql stop
/etc/init.d/postgresql start

Ahora actualizamos el fichero /var/pgsql-8.4/data/pg_hba.conf con esta linea:

hostssl    all      postgres      127.0.0.1/32          md5

Y volvemos a leer el fichero de configuración para activar los cambios.

/etc/init.d/postgresql reload

Si hemos hecho las cosas correctamente deberiamos de poder conectar con nuestro servidor PostgreSQL via SSL y cifrando nuestro tráfico. La linea que hemos definido en pg_hba.conf define que el usuario postgres puede conectarse desde 127.0.0.1/32 a todas las bases de datos de nuestra instalacion solamente via SSL y escribiendo la clave de acceso (Teneis que haber definido la clave del usuario postgres con antelación para que esto funcione). Vosotros tendreis que configurar vuestro sistema para dar acceso a los clientes de vuestro sistema.

postgres@core4:~$ psql -h 127.0.0.1 
password:

psql (8.4.1)
SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256)
Type "help" for help.

postgres=# 

La linea SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256) que se muestra al conectar con el servidor nos indica que la conexión está cifrada via SSL.

Si habeis llegado hasta aquí, ya teneis el servidor PostgreSQL configurado para recibir conexiones via SSL y cifrar el tráfico entre los clientes y el servidor de bases de datos.

Autentificar a los clientes mediante certificados SSL

También podemos utilizar certificados digitales para autentificar a los clientes que se quieran conectar con nuestro servidor. De esta manera solamente podrán conectarse a nuestro servidor los clientes que tengan instalado un certificado que esté firmado por una autoridad de certificación (CA) registrada en el fichero /var/pgsql-8.4/data/root.crt de nuestro servidor.

Para activar esta posibilidad lo primero que tenemos que hacer es crear un certificado para nuestro cliente y firmarlo con nuestro certificado CA local. A continuación debemos crear un subdirectorio (~/.postgresql/) en el directorio HOME del usuario que va a ejecutar el programa cliente, y para terminar tenemos que copiar a este subdirectorio cuatro ficheros. En nuestro ejemplo creamos el directorio /home/postgresql/.postgresql y copiamos en el los ficheros necesarios:

• /home/postgresql/.postgresql/postgresql.crt: Certificado firmado por el CA local que hemos creado para nuestro cliente
• /home/postgresql/.postgresql/postgresql.key: Llave privada del certificado creado para el cliente
• /home/postgresql/.postgresql/root.crt: Certificado CA local utilizado para firmar el certificado creado para el cliente
• /home/postgresql/.postgresql/root.crl: Fichero CRL (Certificate Revocation List) con la lista de certificados revocados

Definimos los permisos necesarios:

# chmod 0400 /home/postgresql/.postgresql/*

A continuación actualizamos el fichero /var/pgsql-8.4/data/pg_hba.conf con una linea similar a esta:

hostssl    all     postgres       127.0.0.1/32        md5   clientcert=1

Y leemos el fichero de configuración para activar los cambios.

/etc/init.d/postgresql reload

Los dos parámetros importantes en esta linea son hostssl y clientcert=1. De esta manera podemos definir que la conexión se pueda realizar solamente desde clientes que tengan instalado un certificado que esté firmado por una autoridad de certificación (CA) que reconozcamos. Si no tuviesemos los ficheros necesarios en /home/postgresql/.postgresql/, nos daria un error al intentar conectarnos.

# psql -h 127.0.0.1 -U postgres
psql: could not open certificate file "/home/postgres/.postgresql/postgresql.crt": 
      No such file or directory

FATAL:  connection requires a valid client certificate
FATAL:  no pg_hba.conf entry for host "127.0.0.1", user "postgres", 
        database "postgres", SSL off

Autentificar a los usuarios mediante certificados SSL

Hasta ahora hemos visto como encriptar el trafico de red y como autentificar a clientes con certificados digitales. A partir de la versión 8.4.0 de PostgreSQL tambien se pueden utilizar certificados digitales para autentificar a los usuarios que se quieran conectar con nuestro servidor.

Este tipo de autentificación se activa usando el metodo 'cert' en la opción método cuando definamos el acceso en pg_hba.conf. Si usamos este método de autentificación no necesitaremos escribir ninguna clave de acceso pero deberemos de proveer un certificado valido.

El atributo CN (lo que se define en 'Common Name (eg, YOUR name) []:') del certificado es el atributo que se comprueba para ver si corresponde con el usuario con el que se intenta conectar. Si el CN no es igual al usuario de la base de datos con el que se intenta conectar podemos usar mapas de usuario en el servidor para hacer la conversión.

Lo primero que tenemos que hacer es crear un certificado para nuestro usuario ('Common Name (eg, YOUR name) []: postgres') y firmarlo con nuestro certificado CA local. A continuación copiamos este certificado y la llave privada a /home/postgresql/.postgresql/postgresql.crt y /home/postgresql/.postgresql/postgresql.key en el ordenador cliente.

Después tenemos que actualizar el fichero /var/pgsql-8.4/data/pg_hba.conf con una linea similar a esta:

hostssl    all         postgres       127.0.0.1/32       cert

Y por último leemos el fichero de configuración para activar los cambios.

/etc/init.d/postgresql reload

Si no tuviesemos el certificado correcto instalado, el sistema nos daria un error similar al que se obtiene cuando la autentificación con certificado del ordenador cliente falla.

Más información

Esto es todo en este artículo. Más información detallada sobre el tema y su configuración se puede encontrar en:

http://www.postgresql.org/docs/current/interactive/ssl-tcp.html
http://www.postgresql.org/docs/curent/interactive/auth-pg-hba-conf.html
http://www.postgresql.org/docs/current/interactive/libpq-ssl.html
http://www.postgresql.org/docs/current/interactive/auth-methods.html#AUT...
http://www.postgresql.org/docs/8.4/interactive/auth-username-maps.html
http://www.postgresql-es.org/node/218
http://www.postgresql-es.org/node/219

AUTOR: Rafael Martinez / PostgreSQL-es.org