检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用SSL方式建连报错或阻塞 问题现象 JDBC使用SSL方式建立连接时,会在客户端获取强随机数,建立连接过程中可能出现以下的报错信息: 场景1:如下报错: 场景2:建连阻塞。如果连接串中配置了loginTimeout后,会报Connection attempt timed out,如果不配置该参数,会一直阻塞。
设置不当的风险与影响:若吊销列表中文件名称配置错误,可能导致无效的客户端证书可完成SSL建连,存在数据泄露风险;有效的客户端证书被视为已吊销,无法建立SSL连接。 enable_shared_sslctx 参数说明:是否开启SSL证书全局加载并共享SSL上下文,仅在SSL参数配置为on时生效。 参数类型:布尔型
设置不当的风险与影响:若吊销列表中文件名称配置错误,可能导致无效的客户端证书可完成SSL建连,存在数据泄露风险;有效的客户端证书被视为已吊销,无法建立SSL连接。 enable_shared_sslctx 参数说明:是否开启SSL证书全局加载并共享SSL上下文,仅在SSL参数配置为on时生效。 参数类型:布尔型
0。 查找证书:在每次输入域名后,找到SSL连接相关信息,单击后会发现证书,继续单击可查看证书内容。 导出证书:在证书查看页面,可能会看到证书分为很多级,我们仅需要域名的上一级证书即可,选择该证书并单击导出,便可直接生成证书文件,即我们需要的证书文件。 上传证书:将导出的证书上传至应用端,并配置到上述参数中即可。
port 连接端口号,默认为5432。 sslmode ssl模式,ssl连接时用。 sslcert 客户端证书路径,ssl连接时用。 sslkey 客户端密钥路径,ssl连接时用。 sslrootcert 根证书路径,ssl连接时用。 hostaddr 数据库IP地址。 connect_timeout
port 连接端口号,默认为5432。 sslmode ssl模式,ssl连接时用。 sslcert 客户端证书路径,ssl连接时用。 sslkey 客户端密钥路径,ssl连接时用。 sslrootcert 根证书路径,ssl连接时用。 hostaddr 数据库IP地址。 connect_timeout
verify-ca 是 必须使用SSL安全连接,并且验证数据库是否具有可信证书机构签发的证书。当前windows ODBC不支持cert方式认证。 verify-full 是 必须使用SSL安全连接,在verify-ca的验证范围之外,同时验证数据库所在主机的主机名是否与证书内容一致。当前windows
0。 查找证书:在每次输入域名后,找到SSL连接相关信息,单击后会发现证书,继续单击可查看证书内容。 导出证书:在证书查看页面,可能会看到证书分为很多级,我们仅需要域名的上一级证书即可,选择该证书并单击导出,便可直接生成证书文件,即我们需要的证书文件。 上传证书:将导出的证书上传至应用端,并配置到上述参数中即可。
息。 SSL模式。 将3中设置窗口的“SSL Mode”选项调整至“require”。 表1 Sslmode的可选项及其描述 Sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用,则可以使用SSL安全加密连接,但不验证数据库服务器的真实性。
开启此参数需要同时确保ssl_cert_file、ssl_key_file和ssl_ca_file参数配置正确,不正确的配置可能会导致集群无法正常启动。 默认值:off require_ssl 参数说明:设置服务器端是否强制要求SSL连接,该参数只有当参数ssl为on时才有效。请在
息。 SSL模式。 将3中设置窗口的“SSL Mode”选项调整至“require”。 表1 sslmode的可选项及其描述 sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用,则可以使用SSL安全加密连接,但不验证数据库服务器的真实性。
息。 SSL模式。 将3中设置窗口的“SSL Mode”选项调整至“require”。 表1 Sslmode的可选项及其描述 Sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用,则可以使用SSL安全加密连接,但不验证数据库服务器的真实性。
取值范围:字符串,其中空字符串表示没有CA文件被加载,不进行客户端证书验证。 默认值:cacert.pem ssl_crl_file 参数说明:证书吊销列表,如果客户端证书在该列表中,则当前客户端证书被视为无效证书,其相对路径是相对于数据目录的。 该参数属于POSTMASTER类
息。 SSL模式。 将3中设置窗口的“SSL Mode”选项调整至“require”。 表1 sslmode的可选项及其描述 sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用,则可以使用SSL安全加密连接,但不验证数据库服务器的真实性。
取值范围:字符串,其中空字符串表示没有CA文件被加载,不进行客户端证书验证。 默认值:cacert.pem ssl_crl_file 参数说明:证书吊销列表,如果客户端证书在该列表中,则当前客户端证书被视为无效证书。必须使用相对路径,相对路径是相对于数据目录的。 该参数属于POS
在使用SSL时,默认用户已经获取了服务端和客户端所需要的证书和私钥文件,关于证书等文件的获取请参见Openssl相关文档和命令。 使用*.ini文件(python的configparser包可以解析这种类型的配置文件)保存数据库连接的配置信息。 在连接选项中添加SSL连接相关参
果没有建立SSL连接,这个参数会被忽略。 sslrootcert 这个参数指定一个包含SSL证书机构(CA)证书的文件名称。如果该文件存在,服务器的证书将被验证是由这些机构之一签发。 sslcrl 这个参数指定SSL证书撤销列表(CRL)的文件名。列在这个文件中的证书如果存在,在尝试认证该服务器证书时会被拒绝。
段。 查找证书:在每次输入域名后,找到SSL连接相关信息,单击后会发现证书,继续单击可查看证书内容。 导出证书:在证书查看页面,可能会看到证书分为很多级,仅需要域名的上一级证书即可,选择该证书并单击导出,便可直接生成证书文件,即需要的证书文件。 上传证书:将导出的证书上传至应用端,并配置到上述参数中即可。
kmsCaCert=/路径/KMS的CA证书文件"); 获取证书 大部分浏览器均会自动下载网站对应的CA证书,并提供证书导出功能。虽然,很多网站也提供自动下载CA证书的功能,但可能因本地环境中存在代理或网关,导致CA证书无法正常使用。所以,建议借助浏览器下载CA证书。下载方式如下: 由于使用r
在使用SSL时,默认用户已经获取了服务端和客户端所需要的证书和私钥文件,关于证书等文件的获取请参见Openssl相关文档和命令。 使用*.ini文件(python的configparser包可以解析这种类型的配置文件)保存数据库连接的配置信息。 在连接选项中添加SSL连接相关参
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
