云数据库 GAUSSDB-连接数据库（以SSL方式）:客户端配置

时间：2024-11-02 18:50:19

云数据库 GAUSSDB

客户端配置

上传证书文件，将在服务端配置章节生成出的文件client.key.pk8、client.crt、cacert.pem放置在客户端。不同于基于gsql的程序，JDBC默认支持服务证书确认，如果用户使用一个由认证中心（CA，全球CA或区域CA）签发的证书，则java应用程序不需要做什么，因为java拥有大部分认证中心签发的证书的复制件。如果用户使用的是自签的证书，则需要配置客户端程序，使其可用，此过程依赖于openssl工具以及java自带的keytool工具，配置步骤如下：

如果使用内置证书，以下步骤有效。

在客户端机器上，上传证书文件。
1. 以普通用户登录客户端机器。
2. 创建“/tmp/cacert”目录。
```
mkdir /tmp/cacert
```
3. 将根证书文件以及客户端证书和私钥文件放入所创建的目录下。
将根证书导入到trustStore中。
```
openssl x509 -in cacert.pem -out cacert.crt.der -outform der
```
生成中间文件cacert.crt.der。
```
keytool -keystore mytruststore -alias cacert -import -file cacert.crt.der
```
请用户根据提示信息输入口令，此口令为truststorepassword，例如xxxxxxxxx，从而生成mytruststore。
- cacert.pem为根证书。
- cacert.crt.der为中间文件。
- mytruststore为生成的密钥库名称，此名称以及别名，用户可以根据需要进行修改。

将客户端证书和私钥导入到keyStore中。

openssl pkcs12 -export -out client.pkcs12 -in client.crt -inkey client.key

请用户根据提示信息输入clientkey，例如xxxxxxxxx，从而生成client.pkcs12。

keytool -importkeystore -deststorepass xxxxxxxxxxx -destkeystore client.jks -srckeystore client.pkcs12 -srcstorepass xxxxxxxxx -srcstoretype PK CS 12 -alias 1 -destkeypass xxxxxxxxx

此处deststorepass与destkeypass需保持一致，srcstorepass需与上条命令中的export password保持一致。生成client.jks。

上一篇：云数据库 GAUSSDB-连接数据库（以SSL方式）:示例1 使用NonValidatingFactory通道

下一篇：云数据库 GAUSSDB-连接数据库（以SSL方式）:示例1 使用NonValidatingFactory通道