暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

华为GaussDB T 通过SSL加密客户端和服务器之间的通讯

原创 章芋文 2019-10-03
375

前提条件

从CA认证中心申请到正式的服务器、客户端的证书和密钥。当前只支持pem格式的SSL证书。(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem。)

相关概念

GaussDB 

100支持SSL协议标准,SSL协议是一种安全性更高的协议标准,它加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。

GaussDB 

100支持TLSv1.2协议标准,TLSv1.2协议是一种安全性更高的协议标准,他加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。

注意事项

如果是HA高可用模式部署,为了保证双向数据传输的安全性,需要在主备机上分别开启SSL功能。

操作步骤

假设以“/home/gaussdba/app”路径为例,在实际操作中请使用实际路径进行替换。

以DBA身份登录GaussDB 

100数据库。


zsqlconn gaussdba/gaussdb_123@192.168.0.1:1888


gaussdba/gaussdb_123为安装后创建的系统管理员和修改后的密码,192.168.0.1为数据库所在的服务器IP地址,1888为连接的端口号。

 


配置SSL认证相关的数字证书参数,具体要求请参见表1。


配置服务器端参数,参数设置完成后重启生效。

alter system set SSL_CA = '/home/gaussdba/app/cacert.pem';

alter system set SSL_CERT = '/home/gaussdba/app/server.crt';

alter system set SSL_KEY = '/home/gaussdba/app/server.key';

alter system set SSL_VERIFY_PEER = TRUE;

配置如下客户端参数。

export ZSQL_SSL_CERT=""/home/gaussdba/app/client.crt""

export ZSQL_SSL_KEY=""/home/gaussdba/app/client.key""

export ZSQL_SSL_CA=""/home/gaussdba/app/cacert.pem""

export ZSQL_SSL_MODE=""preferred""

「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论