云数据库 GAUSSDB-连接数据库(以SSL方式):客户端配置

时间:2024-11-02 18:46:28

客户端配置

上传证书文件,将在服务端配置章节生成的文件client.key.pk8、client.crt、cacert.pem放置在客户端。不同于基于gsql的程序,JDBC默认支持服务证书确认,如果用户使用一个由认证中心(CA,全球CA或区域CA)签发的证书,则java应用程序不需要做什么,因为java拥有大部分认证中心签发的证书的拷贝。如果用户使用的是自签的证书,则需要配置客户端程序,使其可用,此过程依赖于openssl工具以及java自带的keytool工具,配置步骤如下:

如果使用内置证书,以下步骤有效。

  1. 在客户端机器上,上传证书文件。

    1. 以普通用户登录客户端机器。
    2. 创建“/tmp/cacert”目录。
      mkdir /tmp/cacert
    3. 将根证书文件以及客户端证书和私钥文件放入所创建的目录下。

  2. 将根证书导入到trustStore中。

    openssl x509 -in cacert.pem -out cacert.crt.der -outform der

    生成中间文件cacert.crt.der。

    keytool -keystore mytruststore -alias cacert -import -file cacert.crt.der

    请用户根据提示信息输入口令,此口令为truststorepassword,例如xxxxxxxxx,从而生成mytruststore。

    • cacert.pem为根证书。
    • cacert.crt.der为中间文件。
    • mytruststore为生成的密钥库名称,此名称以及别名,用户可以根据需要进行修改。

  3. 将客户端证书和私钥导入到keyStore中。

    openssl pkcs12 -export -out client.pkcs12 -in client.crt -inkey client.key   

    请用户根据提示信息输入clientkey,例如xxxxxxxxx,从而生成client.pkcs12。

    keytool -importkeystore -deststorepass xxxxxxxxxxx -destkeystore client.jks -srckeystore client.pkcs12 -srcstorepass xxxxxxxxx -srcstoretype PK CS 12 -alias 1 -destkeypass xxxxxxxxx

    此处deststorepass与destkeypass需保持一致,srcstorepass需与上条命令中的export password保持一致。生成client.jks。

support.huaweicloud.com/distributed-devg-v3-gaussdb/gaussdb-12-0060.html