背景信息
openGauss支持SSL标准协议(TLS 1.2),SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。
前提条件
从CA认证中心申请到正式的服务器、客户端的证书和密钥。(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem。)
注意事项
当用户远程连接到数据库主节点时,需要使用sha256的认证方式。
当内部服务器之间连接时,需要使用trust的认证方式,支持IP白名单认证。
操作步骤
-
openGauss在openGauss部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。
-
配置SSL认证相关的数字证书参数,具体要求请参见表1。(https://opengauss.org/zh/docs/1.0.1/docs/Developerguide/%E7%94%A8SSL%E8%BF%9B%E8%A1%8C%E5%AE%89%E5%85%A8%E7%9A%84TCP-IP%E8%BF%9E%E6%8E%A5.html#zh-cn_topic_0237121092_zh-cn_topic_0059778374_table56811076112938)
-
配置客户端参数。
已从CA认证中心申请到客户端默认证书,私钥,根证书以及私钥密码加密文件。假设证书、私钥和根证书都放在“/home/omm”目录。
双向认证需配置如下参数:
export PGSSLCERT="/home/omm/client.crt"
export PGSSLKEY="/home/omm/client.key"
export PGSSLMODE="verify-ca"
export PGSSLROOTCERT="/home/omm/cacert.pem"
单向认证需要配置如下参数:
export PGSSLMODE="verify-ca"
export PGSSLROOTCERT="/home/omm/cacert.pem"
- 修改客户端密钥的权限。
客户端根证书,密钥,证书以及密钥密码加密文件的权限,需保证权限为600。如果权限不满足要求,则客户端无法以SSL连接到openGauss。
chmod 600 client.key
chmod 600 client.crt
chmod 600 client.key.cipher
chmod 600 client.key.rand
chmod 600 cacert.pem
须知:
从安全性考虑,建议使用双向认证方式。
配置客户端环境变量,必须包含文件的绝对路径
官方文档地址:https://opengauss.org/zh/docs/1.0.1/docs/Developerguide/%E7%94%A8SSL%E8%BF%9B%E8%A1%8C%E5%AE%89%E5%85%A8%E7%9A%84TCP-IP%E8%BF%9E%E6%8E%A5.html
