数据仓库服务 GAUSSDB(DWS)-使用SSL进行安全的TCP/IP连接:客户端和服务器端SSL连接参数组合情况

时间：2023-12-01 10:58:32

数据仓库服务 GAUSSDB(DWS) 使用指导

客户端最终是否使用SSL加密连接方式、是否验证服务器证书，取决于客户端参数sslmode与服务器端（即 GaussDB (DWS) 集群侧）参数ssl、require_ssl。参数说明如下：

ssl（服务器）
ssl参数表示是否开启SSL功能。on表示开启，off表示关闭。
- 对于集群版本高于1.3.1（包括1.3.1）的集群，默认为on，不支持在GaussDB(DWS) 管理控制台上设置。
- 对于集群版本低于1.3.1的集群，默认为on。ssl参数可通过GaussDB(DWS) 管理控制台上集群的“安全设置”页面中的“SSL连接”进行设置。
require_ssl（服务器）
require_ssl参数是设置服务器端是否强制要求SSL连接，该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。
- 对于集群版本高于1.3.1（包括1.3.1）的集群，默认为off。require_ssl参数可通过GaussDB(DWS) 管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。
- 对于集群版本低于1.3.1的集群，默认为off，不支持在GaussDB(DWS) 管理控制台上设置。
sslmode（客户端）
可在SQL客户端工具中进行设置。
- 在gsql命令行客户端中，为“PGSSLMODE”参数。
- 在Data Studio客户端中，为“SSL模式”参数。

客户端参数sslmode与服务器端参数ssl、require_ssl配置组合结果如下：

表3 客户端与服务器端SSL参数组合结果
ssl（服务器）	sslmode（客户端）	require_ssl（服务器）	结果
on	disable	on	由于服务器端要求使用 SSL，但客户端针对该连接禁用了 SSL，因此无法建立连接。
	disable	off	连接未加密。
	allow	on	连接经过加密。
	allow	off	连接未加密。
	prefer	on	连接经过加密。
	prefer	off	连接经过加密。
	require	on	连接经过加密。
	require	off	连接经过加密。
	verify-ca	on	连接经过加密，且验证了服务器证书。
	verify-ca	off	连接经过加密，且验证了服务器证书。
off	disable	on	连接未加密。
	disable	off	连接未加密。
	allow	on	连接未加密。
	allow	off	连接未加密。
	prefer	on	连接未加密。
	prefer	off	连接未加密。
	require	on	由于客户端要求使用 SSL，但服务器端禁用了 SSL，因此无法建立连接。
	require	off	由于客户端要求使用 SSL，但服务器端禁用了 SSL，因此无法建立连接。
	verify-ca	on	由于客户端要求使用 SSL，但服务器端禁用了 SSL，因此无法建立连接。
	verify-ca	off	由于客户端要求使用 SSL，但服务器端禁用了 SSL，因此无法建立连接。