数据仓库服务 GAUSSDB(DWS)-使用SSL进行安全的TCP/IP连接:在gsql客户端配置SSL认证相关的数字证书参数

时间:2024-12-10 11:29:04

在gsql客户端配置SSL认证相关的数字证书参数

GaussDB (DWS)在集群部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。

  1. 登录GaussDB(DWS)管理控制台,在左侧导航栏中,进入“连接客户端”页面。
  2. 在“下载驱动程序”区域,单击“下载SSL证书”进行下载。

    图1 SSL证书下载

  3. 使用文件传输工具(例如WinSCP工具)将SSL证书上传到客户端主机。

    例如,将下载的证书“dws_ssl_cert.zip”存放到“/home/dbadmin/dws_ssl/”目录下。

  4. 使用SSH远程连接工具(例如PuTTY)登录gsql客户端主机,然后执行以下命令进入SSL证书的存放目录,并解压SSL证书:

    cd /home/dbadmin/dws_ssl/
    unzip dws_ssl_cert.zip

  5. 在gsql客户端主机上,执行export命令,配置SSL认证相关的数字证书参数。

    SSL认证有两种认证方式:双向认证和单向认证。认证方式不同用户所需配置的客户端环境变量也不同,详细介绍请参见SSL认证方式及客户端参数介绍

    双向认证需配置如下参数:

    export PGSSLCERT="/home/dbadmin/dws_ssl/sslcert/client.crt"
    export PGSSLKEY="/home/dbadmin/dws_ssl/sslcert/client.key"
    export PGSSLMODE="verify-ca"
    export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"

    单向认证需要配置如下参数:

    export PGSSLMODE="verify-ca"
    export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"
    • 从安全性考虑,建议使用双向认证方式。
    • 配置客户端环境变量,必须包含文件的绝对路径。

  6. 修改客户端密钥的权限。

    客户端根证书、密钥、证书以及密钥密码加密文件需保证权限为600。如果权限不满足要求,则客户端无法以SSL方式连接到集群。

    chmod 600 client.key
    chmod 600 client.crt
    chmod 600 client.key.cipher
    chmod 600 client.key.rand
    chmod 600 cacert.pem

support.huaweicloud.com/tg-dws/dws_gsql_011.html