F.62. sslinfo — получение информации об SSL-сертификате клиента #
Модуль sslinfo
выдаёт информацию о SSL-сертификате, который был представлен текущим клиентом при подключении к Postgres Pro. Этот модуль бесполезен (большинство функций возвратят NULL), если для текущего подключения не задействуется SSL.
Часть информации, выдаваемой этим модулем, можно получить через встроенное системное представление pg_stat_ssl
.
Это расширение не будет собираться, если конфигурация была произведена без ключа --with-ssl=openssl
.
F.62.1. Предоставляемые функции #
-
ssl_is_used() returns boolean
Возвращает true, если текущее подключение использует SSL, и false в противном случае.
-
ssl_version() returns text
Возвращает имя протокола, по которому организовано SSL-подключение (например TLSv1.0, TLSv1.1, TLSv1.2 или TLSv1.3).
-
ssl_cipher() returns text
Возвращает имя шифра, используемого для SSL-подключения (например, DHE-RSA-AES256-SHA).
-
ssl_client_cert_present() returns boolean
Возвращает true, если текущий клиент предоставил серверу действительный клиентский SSL-сертификат, и false в противном случае. (Сервер может требовать, а может и не требовать предоставления клиентского сертификата.)
-
ssl_client_serial() returns numeric
Возвращает серийный номер текущего клиентского сертификата. Сочетание серийного номера сертификата с выдавшим его центром сертификации гарантирует однозначную идентификацию сертификата (но не его владелец — владелец должен регулярно менять свои ключи и получать сертификаты в центре сертификации).
Поэтому, если вы используете собственный ЦС и настроили сервер, чтобы он принимал сертификаты только от этого ЦС, серийный номер будет наиболее надёжным (хотя не очень запоминающимся) ключом идентификации пользователя.
-
ssl_client_dn() returns text
Возвращает полное имя субъекта из текущего клиентского сертификата, преобразуя символьные данные в кодировку текущей базы данных. Предполагается, что если в именах в сертификатах используются символы вне таблицы ASCII, то ваша база данных может представить эти символы. Если в вашей базе используется кодировка SQL_ASCII, символы вне ASCII в имени будут представлены последовательностями UTF-8.
Результат выглядит примерно так:
/CN=Somebody /C=Some country/O=Some organization
.-
ssl_issuer_dn() returns text
Возвращает полное имя издателя текущего клиентского сертификата, преобразуя символьные данные в кодировку текущей базы данных. Преобразования кодировки осуществляются так же, как и в
ssl_client_dn
.Сочетание возвращаемого значения этой функции с серийным номером сертификата однозначно идентифицирует сертификат.
Эта функция полезна, только если в установленном на сервере файле с сертификатами ЦС содержатся сертификаты нескольких ЦС или если один ЦС выдаёт сертификаты для промежуточных центров сертификации.
-
ssl_client_dn_field(fieldname text) returns text
Эта функция возвращает значение указанного поля данных субъекта сертификата, либо NULL, если это поле отсутствует. Имена полей задаются строковыми константами, которые затем преобразуются в идентификаторы объектов ASN1, используя базу данных объектов OpenSSL. Принимаются следующие значения:
commonName (или CN) surname (или SN) name givenName (или GN) countryName (или C) localityName (или L) stateOrProvinceName (или ST) organizationName (или O) organizationalUnitName (или OU) title description initials postalCode streetAddress generationQualifier description dnQualifier x500UniqueIdentifier pseudonym role emailAddress
Все эти поля являются необязательными, за исключением
commonName
. Какие из них будут включены в сертификат, а какие нет, зависит полностью от политики вашего ЦС. Значение этих полей, однако, строго определено стандартами X.500 и X.509, так что их нельзя интерпретировать произвольным образом.-
ssl_issuer_field(fieldname text) returns text
То же, что
ssl_client_dn_field
, но для издателя, а не для субъекта сертификата.-
ssl_extension_info() returns setof record
Предоставляет информацию о расширениях клиентского сертификата: имя расширения, значение расширения и является ли это расширение критическим.
F.62.2. Автор #
Виктор Вагнер <vitus@cryptocom.ru>
, ООО «Криптоком»
Дмитрий Воронин <carriingfate92@yandex.ru>
Электронный адрес группы разработчиков OpenSSL в Криптокоме: <openssl@cryptocom.ru>