数据仓库服务 GAUSSDB(DWS)-使用SSL进行安全的TCP/IP连接:客户端和服务器端SSL连接参数组合情况

时间:2024-12-10 11:29:04

客户端和服务器端SSL连接参数组合情况

客户端最终是否使用SSL加密连接方式、是否验证服务器证书,取决于客户端参数sslmode与服务器端(即 GaussDB (DWS)集群侧)参数ssl、require_ssl。参数说明如下:

  • ssl(服务器)
    ssl参数表示是否开启SSL功能。on表示开启,off表示关闭。
    • 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为on,不支持在GaussDB(DWS)管理控制台上设置。
    • 对于集群版本低于1.3.1的集群,默认为on。ssl参数可通过GaussDB(DWS)管理控制台上集群的“安全设置”页面中的“SSL连接”进行设置。
  • require_ssl(服务器)
    require_ssl参数是设置服务器端是否强制要求SSL连接,该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。
    • 对于集群版本高于1.3.1(包括1.3.1)的集群,默认为off。require_ssl参数可通过GaussDB(DWS)管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。
    • 对于集群版本低于1.3.1的集群,默认为off,不支持在GaussDB(DWS)管理控制台上设置。
  • sslmode(客户端)
    可在SQL客户端工具中进行设置。
    • 在gsql命令行客户端中,为“PGSSLMODE”参数。
    • 在Data Studio客户端中,为“SSL模式”参数。

客户端参数sslmode与服务器端参数ssl、require_ssl配置组合结果如下:

表3 客户端与服务器端SSL参数组合结果

ssl(服务器)

sslmode(客户端)

require_ssl(服务器)

结果

on

disable

on

由于服务器端要求使用SSL,但客户端针对该连接禁用了SSL,因此无法建立连接。

disable

off

连接未加密。

allow

on

连接经过加密。

allow

off

连接未加密。

prefer

on

连接经过加密。

prefer

off

连接经过加密。

require

on

连接经过加密。

require

off

连接经过加密。

verify-ca

on

连接经过加密,且验证了服务器证书。

verify-ca

off

连接经过加密,且验证了服务器证书。

off

disable

on

连接未加密。

disable

off

连接未加密。

allow

on

连接未加密。

allow

off

连接未加密。

prefer

on

连接未加密。

prefer

off

连接未加密。

require

on

由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。

require

off

由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。

verify-ca

on

由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。

verify-ca

off

由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。

support.huaweicloud.com/tg-dws/dws_gsql_011.html