5.13. Secure Sockect Layer (SSL)

5.13.1. SSLの設定

ssl (boolean)

onに設定すると,Pgpool-IIはフロントエンドとバックエンドの両方の通信でのSSLが可能になります。 デフォルトはoffです。

注意: フロントエンド接続にSSLするには、ssl_keyssl_certが設定されてなければなりません。

注意: For SSL to work Pgpool-II must be build with OpenSSL support. See 項3.4 for details on building the Pgpool-II. SSLサポートを有効にするためには、Pgpool-IIをOpenSSLサポート付きでビルドする必要があります。 Pgpool-IIのビルドついて詳細は項3.4をご覧ください。

このパラメータはサーバ起動時にのみ設定可能です。

ssl_key (string)

フロントエンドとの接続に使用するプライベートキーファイルのパスを指定します。 このオプションののデフォルト値はありません。 設定がない場合は、フロントエンドとの接続でSSLが使用されなくなります。

このパラメータはサーバ起動時にのみ設定可能です。

ssl_cert (string)

フロントエンドとの接続に使用する公開x509証明書のフルパスを指定します。 このオプションののデフォルト値はありません。 設定がない場合は、フロントエンドとの接続でSSLが使用されなくなります。

このパラメータはサーバ起動時にのみ設定可能です。

ssl_ca_cert (string)

PEM形式のCAルート証明書のパスを指定します。 これはバックエンドサーバ証明書の検証に用いられます。 このオプションはOpenSSL verify(1)コマンドにおける-CAfileオプションと同様の機能を提供します。

このパラメータはサーバ起動時にのみ設定可能です。

ssl_ca_cert_dir (string)

PEM形式のCAルート証明書ファイルが格納されているディレクトリへのパスを指定します。 これはバックエンドサーバ証明書の検証に用いられます。 このオプションはOpenSSL verify(1)コマンドにおける-CAfileオプションと同様の機能を提供します。

デフォルトでは値が設定されておらず検証は行われません。 このオプションが設定されていない場合においても、ssl_ca_certオプションが設定されている場合には検証が行われます。

このパラメータはサーバ起動時にのみ設定可能です。

5.13.2. SSL証明書の生成

証明書の扱いについてはこのマニュアルの範囲外です。 PostgreSQLドキュメントSSLによる安全なTCP/IP接続の章に自分で認証する証明書を作成するコマンドの例があります。