前提条件
从CA认证中心申请到正式的服务器、客户端的证书和密钥。当前只支持pem格式的SSL证书。(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem。)
相关概念
GaussDB
100支持SSL协议标准,SSL协议是一种安全性更高的协议标准,它加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。
GaussDB
100支持TLSv1.2协议标准,TLSv1.2协议是一种安全性更高的协议标准,他加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。
注意事项
如果是HA高可用模式部署,为了保证双向数据传输的安全性,需要在主备机上分别开启SSL功能。
操作步骤
假设以“/home/gaussdba/app”路径为例,在实际操作中请使用实际路径进行替换。
以DBA身份登录GaussDB
100数据库。
zsqlconn gaussdba/gaussdb_123@192.168.0.1:1888
gaussdba/gaussdb_123为安装后创建的系统管理员和修改后的密码,192.168.0.1为数据库所在的服务器IP地址,1888为连接的端口号。
配置SSL认证相关的数字证书参数,具体要求请参见表1。
配置服务器端参数,参数设置完成后重启生效。
alter system set SSL_CA = '/home/gaussdba/app/cacert.pem';
alter system set SSL_CERT = '/home/gaussdba/app/server.crt';
alter system set SSL_KEY = '/home/gaussdba/app/server.key';
alter system set SSL_VERIFY_PEER = TRUE;
配置如下客户端参数。
export ZSQL_SSL_CERT=""/home/gaussdba/app/client.crt""
export ZSQL_SSL_KEY=""/home/gaussdba/app/client.key""
export ZSQL_SSL_CA=""/home/gaussdba/app/cacert.pem""
export ZSQL_SSL_MODE=""preferred""