云数据库 GAUSSDB-前向兼容与安全增强:外部密钥服务的身份验证

时间：2024-11-13 10:04:57

云数据库 GAUSSDB 设置密态等值查询

外部密钥服务的身份验证

当数据库驱动访问华为云密钥管理服务时，为避免攻击者伪装为密钥服务，在数据库驱动与密钥服务建立https连接的过程中，可通过CA证书验证密钥服务器的合法性。为此，需提前配置CA证书，如果未配置，将不会验证密钥服务的身份。本节介绍如何下载与配置CA证书。

配置方法

在key_info参数的中，增加证书相关参数即可。

使用gsql时

gaussdb=# \key_info keyType=huawei_kms,iamUrl=https://iam.example.com/v3/auth/tokens,iamUser={ IAM 用户名},iamPassword={IAM用户密码},iamDomain={账号名},kmsProject={项目},iamCaCert=/路径/IAM的CA证书文件,kmsCaCert=/路径/KMS的CA证书文件

gaussdb=# \key_info keyType=huawei_kms,kmsProjectId={项目ID},ak={AK},sk={SK},kmsCaCert=/路径/KMS的CA证书文件

使用JDBC时

conn.setProperty("key_info", "keyType=huawei_kms," +
    "iamUrl=https://iam.example.com/v3/auth/tokens," +
    "iamUser={IAM用户名}," +
    "iamPassword={IAM用户密码}," +
    "iamDomain={账号名}," +
    "kmsProject={项目}," +
    "iamCaCert=/路径/IAM的CA证书文件," +
    "kmsCaCert=/路径/KMS的CA证书文件");

conn.setProperty("key_info", "keyType=huawei_kms, kmsProjectId={项目ID}, ak={AK}, sk={SK}, kmsCaCert=/路径/KMS的CA证书文件");

获取证书

大部分浏览器均会自动下载网站对应的CA证书，并提供证书导出功能。虽然，诸如https://www.ssleye.com/ssltool/certs_down.html等很多网站也提供自动下载CA证书的功能，但可能因本地环境中存在代理或网关，导致CA证书无法正常使用。所以，建议借助浏览器下载CA证书。下载方式如下：