数据仓库服务 GAUSSDB(DWS)-使用SSL进行安全的TCP/IP连接:在gsql客户端配置SSL认证相关的数字证书参数
在gsql客户端配置SSL认证相关的数字证书参数
GaussDB (DWS)在集群部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。
- 登录GaussDB(DWS)管理控制台,在左侧导航栏中,进入“连接客户端”页面。
- 在“下载驱动程序”区域,单击“下载SSL证书”进行下载。
图1 SSL证书下载
- 使用文件传输工具(例如WinSCP工具)将SSL证书上传到客户端主机。
例如,将下载的证书“dws_ssl_cert.zip”存放到“/home/dbadmin/dws_ssl/”目录下。
- 使用SSH远程连接工具(例如PuTTY)登录gsql客户端主机,然后执行以下命令进入SSL证书的存放目录,并解压SSL证书:
cd /home/dbadmin/dws_ssl/ unzip dws_ssl_cert.zip
- 在gsql客户端主机上,执行export命令,配置SSL认证相关的数字证书参数。
SSL认证有两种认证方式:双向认证和单向认证。认证方式不同用户所需配置的客户端环境变量也不同,详细介绍请参见SSL认证方式及客户端参数介绍。
双向认证需配置如下参数:
export PGSSLCERT="/home/dbadmin/dws_ssl/sslcert/client.crt" export PGSSLKEY="/home/dbadmin/dws_ssl/sslcert/client.key" export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"
单向认证需要配置如下参数:
export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"
- 从安全性考虑,建议使用双向认证方式。
- 配置客户端环境变量,必须包含文件的绝对路径。
- 修改客户端密钥的权限。
客户端根证书、密钥、证书以及密钥密码加密文件需保证权限为600。如果权限不满足要求,则客户端无法以SSL方式连接到集群。
chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem
- GAUSS(DWS)工具_gsql工具_DataStudio工具_DSC工具
- 数据仓库服务GaussDB(DWS)_SQL on Anywhere
- GaussDB查版本命令_GaussDB命令参考_高斯数据库查版本命令-华为云
- DWS安全_数据仓库服务安全_DWS数据安全管理_DWS安全保障_DWS安全策略
- GaussDB学习_gaussdb数据库_高斯数据库学习_华为云
- 调用GaussDB(DWS) API接口_数据仓库服务调用API_如何调用API_在DWS中调用API
- ssl证书申请_ssl域名证书_免费的ssl证书-华为云
- SSL免费证书申请_【一年】_IP地址申请免费SSL证书的方法和步骤_免费SSL证书下载
- 连接GaussDB数据库_华为高斯数据库_新建数据库_语法
- 数据安全-数据库安全-数据库审计工具