projects / postgresql.git / commitdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (parent: a417f85)
Add parameters for controlling locations of server-side SSL files
authorPeter Eisentraut
Wed, 22 Feb 2012 21:40:46 +0000 (23:40 +0200)
committerPeter Eisentraut
Wed, 22 Feb 2012 21:40:46 +0000 (23:40 +0200)
This allows changing the location of the files that were previously
hard-coded to server.crt, server.key, root.crt, root.crl.

server.crt and server.key continue to be the default settings and are
thus required to be present by default if SSL is enabled.  But the
settings for the server-side CA and CRL are now empty by default, and
if they are set, the files are required to be present.  This replaces
the previous behavior of ignoring the functionality if the files were
not found.

doc/src/sgml/config.sgml patch | blob | blame | history
doc/src/sgml/runtime.sgml patch | blob | blame | history
src/backend/libpq/be-secure.c patch | blob | blame | history
src/backend/libpq/hba.c patch | blob | blame | history
src/backend/utils/misc/guc.c patch | blob | blame | history
src/backend/utils/misc/postgresql.conf.sample patch | blob | blame | history
src/include/libpq/libpq.h patch | blob | blame | history

diff --git a/doc/src/sgml/config.sgml b/doc/src/sgml/config.sgml
index 0ea9aebdb02c57d15ef81934da8f1e56faf41278..6e1378a9d6dc8dc633fc56a1bc8450a1cd7c1861 100644 (file)
--- a/doc/src/sgml/config.sgml
+++ b/doc/src/sgml/config.sgml
@@ -668,6 +668,70 @@ SET ENABLE_SEQSCAN TO OFF;
       
      
 
+     
+      ssl_ca_file (string)
+      
+       ssl_ca_file configuration parameter
+      
+      
+       
+        Specifies the name of the file containing the SSL server certificate
+        authority (CA).  The default is empty, meaning no CA file is loaded,
+        and client certificate verification is not performed.  (In previous
+        releases of PostgreSQL, the name of this file was hard-coded
+        as root.crt.)  Relative paths are relative to the
+        data directory.  This parameter can only be set at server start.
+       
+      
+     
+
+     
+      ssl_cert_file (string)
+      
+       ssl_cert_file configuration parameter
+      
+      
+       
+        Specifies the name of the file containing the SSL server certificate.
+        The default is server.crt.  Relative paths are
+        relative to the data directory.  This parameter can only be set at
+        server start.
+       
+      
+     
+
+     
+      ssl_crl_file (string)
+      
+       ssl_crl_file configuration parameter
+      
+      
+       
+        Specifies the name of the file containing the SSL server certificate
+        revocation list (CRL).  The default is empty, meaning no CRL file is
+        loaded.  (In previous releases of PostgreSQL, the name of this file was
+        hard-coded as root.crl.)  Relative paths are
+        relative to the data directory.  This parameter can only be set at
+        server start.
+       
+      
+     
+
+     
+      ssl_key_file (string)
+      
+       ssl_key_file configuration parameter
+      
+      
+       
+        Specifies the name of the file containing the SSL server private key.
+        The default is server.key.  Relative paths are
+        relative to the data directory.  This parameter can only be set at
+        server start.
+       
+      
+     
+
      
       ssl_renegotiation_limit (integer)
       
diff --git a/doc/src/sgml/runtime.sgml b/doc/src/sgml/runtime.sgml
index 1c3a9c87d8a37aaf71fe294ef3bbfb01392a6215..5785450e571ee9b8a672b05c355d039dafe42652 100644 (file)
--- a/doc/src/sgml/runtime.sgml
+++ b/doc/src/sgml/runtime.sgml
@@ -1831,10 +1831,8 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
    SSL certificates and make sure that clients check the server's certificate.
    To do that, the server
    must be configured to accept only hostssl connections (
-   linkend="auth-pg-hba-conf">) and have SSL
-   server.key (key) and
-   server.crt (certificate) files (
-   linkend="ssl-tcp">). The TCP client must connect using
+   linkend="auth-pg-hba-conf">) and have SSL key and certificate files
+   (). The TCP client must connect using
    sslmode=verify-ca or
    verify-full and have the appropriate root certificate
    file installed ().
@@ -2053,10 +2051,12 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
   
 
   
-   To start in SSL mode, the files server.crt
-   and server.key must exist in the server's data directory.
-   These files should contain the server certificate and private key,
-   respectively.
+   To start in SSL mode, files containing the server certificate
+   and private key must exist.  By default, these files are expected to be
+   named server.crt and server.key, respectively, in
+   the server's data directory, but other names and locations can be specified
+   using the configuration parameters 
+   and .
    On Unix systems, the permissions on server.key must
    disallow any access to world or group; achieve this by the command
    chmod 0600 server.key.
@@ -2083,7 +2083,9 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
    To require the client to supply a trusted certificate, place
    certificates of the certificate authorities (CAs)
    you trust in the file root.crt in the data
-   directory, and set the clientcert parameter
+   directory, set the parameter  in
+   postgresql.conf to root.crt,
+   and set the clientcert parameter
    to 1 on the appropriate hostssl line(s) in
    pg_hba.conf.
    A certificate will then be requested from the client during
@@ -2091,7 +2093,7 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
    description of how to set up certificates on the client.)  The server will
    verify that the client's certificate is signed by one of the trusted
    certificate authorities.  Certificate Revocation List (CRL) entries
-   are also checked if the file root.crl exists.
+   are also checked if the parameter  is set.
    
    (See 
    url="http://h71000.www7.hp.com/DOC/83final/BA554_90007/ch04s02.html">
@@ -2103,7 +2105,7 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
    available for all authentication methods, but only for rows specified as
    hostssl.  When clientcert is not specified
    or is set to 0, the server will still verify presented client
-   certificates against root.crt if that file exists
+   certificates against its CA list, if one is configured,
    — but it will not insist that a client certificate be presented.
   
 
@@ -2127,7 +2129,8 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
 
    
      summarizes the files that are
-    relevant to the SSL setup on the server.
+    relevant to the SSL setup on the server.  (The shown file names are default
+    or typical names.  The locally configured names could be different.)
    
 
   
@@ -2144,27 +2147,27 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
     
 
      
-      <filename>$PGDATA/server.crt
+      <xref linkend="guc-ssl-cert-file"> ($PGDATA/server.crt)
       server certificate
       sent to client to indicate server's identity
      
 
      
-      <filename>$PGDATA/server.key
+      <xref linkend="guc-ssl-key-file"> ($PGDATA/server.key)
       server private key
       proves server certificate was sent by the owner; does not indicate
       certificate owner is trustworthy
      
 
      
-      <filename>$PGDATA/root.crt
+      <xref linkend="guc-ssl-ca-file"> ($PGDATA/root.crt)
       trusted certificate authorities
       checks that client certificate is
       signed by a trusted certificate authority
      
 
      
-      <filename>$PGDATA/root.crl
+      <xref linkend="guc-ssl-crl-file"> ($PGDATA/root.crl)
       certificates revoked by certificate authorities
       client certificate must not be on this list
      
@@ -2176,6 +2179,7 @@ pg_dumpall -p 5432 | psql -d postgres -p 5433
    
     The files server.key, server.crt,
     root.crt, and root.crl
+    (or their configured alternative names)
     are only examined during server start; so you must restart
     the server for changes in them to take effect.
    
diff --git a/src/backend/libpq/be-secure.c b/src/backend/libpq/be-secure.c
index e35df7309532ba09d4d44b12323c72642899c4af..f0a38c238a419a3a4e6502ee9e8f333c1aa1dfe9 100644 (file)
--- a/src/backend/libpq/be-secure.c
+++ b/src/backend/libpq/be-secure.c
@@ -77,10 +77,10 @@
 
 #ifdef USE_SSL
 
-#define ROOT_CERT_FILE         "root.crt"
-#define ROOT_CRL_FILE          "root.crl"
-#define SERVER_CERT_FILE       "server.crt"
-#define SERVER_PRIVATE_KEY_FILE "server.key"
+char *ssl_cert_file;
+char *ssl_key_file;
+char *ssl_ca_file;
+char *ssl_crl_file;
 
 static DH  *load_dh_file(int keylength);
 static DH  *load_dh_buffer(const char *, size_t);
@@ -746,17 +746,17 @@ initialize_SSL(void)
         * Load and verify server's certificate and private key
         */
        if (SSL_CTX_use_certificate_chain_file(SSL_context,
-                                              SERVER_CERT_FILE) != 1)
+                                              ssl_cert_file) != 1)
            ereport(FATAL,
                    (errcode(ERRCODE_CONFIG_FILE_ERROR),
                  errmsg("could not load server certificate file \"%s\": %s",
-                        SERVER_CERT_FILE, SSLerrmessage())));
+                        ssl_cert_file, SSLerrmessage())));
 
-       if (stat(SERVER_PRIVATE_KEY_FILE, &buf) != 0)
+       if (stat(ssl_key_file, &buf) != 0)
            ereport(FATAL,
                    (errcode_for_file_access(),
                     errmsg("could not access private key file \"%s\": %m",
-                           SERVER_PRIVATE_KEY_FILE)));
+                           ssl_key_file)));
 
        /*
         * Require no public access to key file.
@@ -771,16 +771,16 @@ initialize_SSL(void)
            ereport(FATAL,
                    (errcode(ERRCODE_CONFIG_FILE_ERROR),
                  errmsg("private key file \"%s\" has group or world access",
-                        SERVER_PRIVATE_KEY_FILE),
+                        ssl_key_file),
                   errdetail("Permissions should be u=rw (0600) or less.")));
 #endif
 
        if (SSL_CTX_use_PrivateKey_file(SSL_context,
-                                       SERVER_PRIVATE_KEY_FILE,
+                                       ssl_key_file,
                                        SSL_FILETYPE_PEM) != 1)
            ereport(FATAL,
                    (errmsg("could not load private key file \"%s\": %s",
-                           SERVER_PRIVATE_KEY_FILE, SSLerrmessage())));
+                           ssl_key_file, SSLerrmessage())));
 
        if (SSL_CTX_check_private_key(SSL_context) != 1)
            ereport(FATAL,
@@ -797,48 +797,30 @@ initialize_SSL(void)
        elog(FATAL, "could not set the cipher list (no valid ciphers available)");
 
    /*
-    * Attempt to load CA store, so we can verify client certificates if
-    * needed.
+    * Load CA store, so we can verify client certificates if needed.
     */
-   ssl_loaded_verify_locations = false;
-
-   if (access(ROOT_CERT_FILE, R_OK) != 0)
+   if (ssl_ca_file[0])
    {
-       /*
-        * If root certificate file simply not found, don't log an error here,
-        * because it's quite likely the user isn't planning on using client
-        * certificates. If we can't access it for other reasons, it is an
-        * error.
-        */
-       if (errno != ENOENT)
+       if (SSL_CTX_load_verify_locations(SSL_context, ssl_ca_file, NULL) != 1 ||
+           (root_cert_list = SSL_load_client_CA_file(ssl_ca_file)) == NULL)
            ereport(FATAL,
-                (errmsg("could not access root certificate file \"%s\": %m",
-                        ROOT_CERT_FILE)));
+                   (errmsg("could not load root certificate file \"%s\": %s",
+                           ssl_ca_file, SSLerrmessage())));
    }
-   else if (SSL_CTX_load_verify_locations(SSL_context, ROOT_CERT_FILE, NULL) != 1 ||
-         (root_cert_list = SSL_load_client_CA_file(ROOT_CERT_FILE)) == NULL)
-   {
-       /*
-        * File was there, but we could not load it. This means the file is
-        * somehow broken, and we cannot do verification at all - so fail.
-        */
-       ereport(FATAL,
-               (errmsg("could not load root certificate file \"%s\": %s",
-                       ROOT_CERT_FILE, SSLerrmessage())));
-   }
-   else
+
+   /*----------
+    * Load the Certificate Revocation List (CRL).
+    * http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci803160,00.html
+    *----------
+    */
+   if (ssl_crl_file[0])
    {
-       /*----------
-        * Load the Certificate Revocation List (CRL) if file exists.
-        * http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci803160,00.html
-        *----------
-        */
        X509_STORE *cvstore = SSL_CTX_get_cert_store(SSL_context);
 
        if (cvstore)
        {
            /* Set the flags to check against the complete CRL chain */
-           if (X509_STORE_load_locations(cvstore, ROOT_CRL_FILE, NULL) == 1)
+           if (X509_STORE_load_locations(cvstore, ssl_crl_file, NULL) == 1)
            {
                /* OpenSSL 0.96 does not support X509_V_FLAG_CRL_CHECK */
 #ifdef X509_V_FLAG_CRL_CHECK
@@ -847,32 +829,31 @@ initialize_SSL(void)
 #else
                ereport(LOG,
                (errmsg("SSL certificate revocation list file \"%s\" ignored",
-                       ROOT_CRL_FILE),
+                       ssl_crl_file),
                 errdetail("SSL library does not support certificate revocation lists.")));
 #endif
            }
            else
-           {
-               /* Not fatal - we do not require CRL */
-               ereport(LOG,
-                       (errmsg("SSL certificate revocation list file \"%s\" not found, skipping: %s",
-                               ROOT_CRL_FILE, SSLerrmessage()),
-                        errdetail("Certificates will not be checked against revocation list.")));
-           }
+               ereport(FATAL,
+                       (errmsg("could not load SSL certificate revocation list file \"%s\": %s",
+                               ssl_crl_file, SSLerrmessage())));
+       }
+   }
 
-           /*
-            * Always ask for SSL client cert, but don't fail if it's not
-            * presented.  We might fail such connections later, depending on
-            * what we find in pg_hba.conf.
-            */
-           SSL_CTX_set_verify(SSL_context,
-                              (SSL_VERIFY_PEER |
-                               SSL_VERIFY_CLIENT_ONCE),
-                              verify_cb);
+   if (ssl_ca_file[0])
+   {
+       /*
+        * Always ask for SSL client cert, but don't fail if it's not
+        * presented.  We might fail such connections later, depending on
+        * what we find in pg_hba.conf.
+        */
+       SSL_CTX_set_verify(SSL_context,
+                          (SSL_VERIFY_PEER |
+                           SSL_VERIFY_CLIENT_ONCE),
+                          verify_cb);
 
-           /* Set flag to remember CA store is successfully loaded */
-           ssl_loaded_verify_locations = true;
-       }
+       /* Set flag to remember CA store is successfully loaded */
+       ssl_loaded_verify_locations = true;
 
        /*
         * Tell OpenSSL to send the list of root certs we trust to clients in
diff --git a/src/backend/libpq/hba.c b/src/backend/libpq/hba.c
index 1dadafc7048c119479ec175aeeea9016629a689c..a83b52ea29065370c2e481eb0be9cbb923629e2d 100644 (file)
--- a/src/backend/libpq/hba.c
+++ b/src/backend/libpq/hba.c
@@ -1417,7 +1417,7 @@ parse_hba_auth_opt(char *name, char *val, HbaLine *hbaline, int line_num)
                ereport(LOG,
                        (errcode(ERRCODE_CONFIG_FILE_ERROR),
                         errmsg("client certificates can only be checked if a root certificate store is available"),
-                        errhint("Make sure the root.crt file is present and readable."),
+                        errhint("Make sure the configuration parameter \"ssl_ca_file\" is set."),
                   errcontext("line %d of configuration file \"%s\"",
                              line_num, HbaFileName)));
                return false;
diff --git a/src/backend/utils/misc/guc.c b/src/backend/utils/misc/guc.c
index 7df5292f95140a40e2cc6ff572757cca50602e6f..84b330c6d3924548810fb49523811bb247f8bf68 100644 (file)
--- a/src/backend/utils/misc/guc.c
+++ b/src/backend/utils/misc/guc.c
@@ -39,6 +39,7 @@
 #include "funcapi.h"
 #include "libpq/auth.h"
 #include "libpq/be-fsstubs.h"
+#include "libpq/libpq.h"
 #include "libpq/pqformat.h"
 #include "miscadmin.h"
 #include "optimizer/cost.h"
@@ -2960,6 +2961,46 @@ static struct config_string ConfigureNamesString[] =
        check_canonical_path, NULL, NULL
    },
 
+   {
+       {"ssl_cert_file", PGC_POSTMASTER, CONN_AUTH_SECURITY,
+           gettext_noop("Location of the SSL server certificate file."),
+           NULL
+       },
+       &ssl_cert_file,
+       "server.crt",
+       NULL, NULL, NULL
+   },
+
+   {
+       {"ssl_key_file", PGC_POSTMASTER, CONN_AUTH_SECURITY,
+           gettext_noop("Location of the SSL server private key file."),
+           NULL
+       },
+       &ssl_key_file,
+       "server.key",
+       NULL, NULL, NULL
+   },
+
+   {
+       {"ssl_ca_file", PGC_POSTMASTER, CONN_AUTH_SECURITY,
+           gettext_noop("Location of the SSL certificate authority file."),
+           NULL
+       },
+       &ssl_ca_file,
+       "",
+       NULL, NULL, NULL
+   },
+
+   {
+       {"ssl_crl_file", PGC_POSTMASTER, CONN_AUTH_SECURITY,
+           gettext_noop("Location of the SSL certificate revocation list file."),
+           NULL
+       },
+       &ssl_crl_file,
+       "",
+       NULL, NULL, NULL
+   },
+
    {
        {"stats_temp_directory", PGC_SIGHUP, STATS_COLLECTOR,
            gettext_noop("Writes temporary statistics files to the specified directory."),
diff --git a/src/backend/utils/misc/postgresql.conf.sample b/src/backend/utils/misc/postgresql.conf.sample
index 400c52bf9d7bb0ac666749f95706555dcce82774..96da086b0f4c8f8e6fcd9a934021bd7a170105bd 100644 (file)
--- a/src/backend/utils/misc/postgresql.conf.sample
+++ b/src/backend/utils/misc/postgresql.conf.sample
@@ -81,6 +81,10 @@
 #ssl_ciphers = 'ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH' # allowed SSL ciphers
                    # (change requires restart)
 #ssl_renegotiation_limit = 512MB   # amount of data between renegotiations
+#ssl_cert_file = 'server.crt'      # (change requires restart)
+#ssl_key_file = 'server.key'       # (change requires restart)
+#ssl_ca_file = ''          # (change requires restart)
+#ssl_crl_file = ''         # (change requires restart)
 #password_encryption = on
 #db_user_namespace = off
 
diff --git a/src/include/libpq/libpq.h b/src/include/libpq/libpq.h
index a4ef7b3e094111fdadcfa1a5767d968aff27221c..7083cd866b68ea906ab66b4f59a9e3b6dfd47885 100644 (file)
--- a/src/include/libpq/libpq.h
+++ b/src/include/libpq/libpq.h
@@ -70,6 +70,11 @@ extern void pq_endcopyout(bool errorAbort);
 /*
  * prototypes for functions in be-secure.c
  */
+extern char *ssl_cert_file;
+extern char *ssl_key_file;
+extern char *ssl_ca_file;
+extern char *ssl_crl_file;
+
 extern int secure_initialize(void);
 extern bool secure_loaded_verify_locations(void);
 extern void secure_destroy(void);
This is the main PostgreSQL git repository.