kingbase配置SSL双向认证

Joyce.Du2024-02-03 17:27

SSL简介:

SSL属于传输加密,在服务器端和客户端建立加密通信渠道来保证数据安全,防止数据在网络传输过程中被篡改和拦截。SSL加密可以使用第三方证书机构颁发的数字证书,也可以使用自签名证书。这里我们使用自签名证书。

背景:

现场是V8R3一主一从集群模式,集群模式相较于单机主要是sys_hba.conf的配置要注意,主备机都需要同步证书并修改配置

具体步骤:

一、检查openssl是否安装

openssl version

若没有安装

yum -y install openssl

yum -y install openssl-devel

二、生成一个有效期很长的自签名证书

cd 到数据目录

openssl req -new -text -out server.req-days 36500

openssl rsa -in privkey.pem -out server.key

rm -f privkey.pem

openssl req -x509 -in server.req -text -key server.key -out server.crt -days 36500

chmod og-rwx server.key

cp server.crtroot.crt

chmod 600 server.crt root.crt server.key

三、配置本地可ssl登录

cd /home/kingbase

mkdir .kingbase

chmod 0700 .kingbase

cd .kingbase

生成kingbase8.key

将第一步data下创建的root.crt文件和server.key文件cp到.kingbase目录下

openssl genrsa -des3 -out kingbase.key 1024

openssl rsa -in kingbase.key -out kingbase.key

chmod 400 kingbase.key

生成kingbase8.csr,CN需要指定为要连接数据库的用户名system(需要免密登录的话必须指定正确,不需要的话并不强制确定)

openssl req -new -key kingbase.key -out kingbase.csr -subj '/C=GB/ST=Berkshire/L=Newbury/O=Kingbase/CN=system' -days 36500

生成kingbase8.crt

openssl X509 -sha1 -req -in kingbase.csr -CA root.crt -CAkey server.key -out kingbase.crt-CAcreateserial -days 36500

生成kingbase8.pk8

openssl pkcs8 -topk8 -outform DER -in kingbase.key -outkingbase.pk8-nocrypt

用金仓的管理工具连接此库需要kingbase.pk8 (密钥)kingbase.crt(证书)、root.crt(CA证书)

cd /home/kingbase/.kingbase

chmod 600 *

四、配置数据库SSL参数

主备数据库kingbase.conf参数修改(集群的话,主备机data/kingbase.conf和etc/kingbase.conf需要保持一致)

ssl = on

ssl_cert_file = 'server.crt'

ssl_key_file = 'server.key'

ssl_ca_file = 'root.crt'

主备机修改sys_hba.conf,增加如下内容

##SYSTEM用户不用ssl验证,避免流复制、物理逻辑备份受影响

host all SYSTEM 192.168.233.0/24 md5

##SUPERMANAGER_V8ADMIN不用ssl验证,避免kingbasecluster检查数据库状态受影响

host all SUPERMANAGER_V8ADMIN 192.168.233.0/24 md5

##其他用户均强制使用ssl验证

hostssl all all 0.0.0.0/0 md5 clientcert=1

五、重启备机在重启主机

sys_ctl restart -D 数据目录

六、重启集群

kingbase_monitor stop

kingbase_monitor start

连接:

使用jdbc连接配置:

连接串后加参数并将root.crt、server.crt、server.crt上传到项目的主目录

sslmode=verify-ca&sslrootcert=root.crt&sslcert=server.crt&sslkey=server.crt

注意:如果是原生pg的驱动可以使用root.crt、server.crt、server.crt;

但如果是金仓的驱动需要使用kingbase.crt 、kingbase.pk8、 root.crt

相关推荐
新时代牛马37 分钟前
OpenSSL引擎 + PKCS11 + SoftHSM2认证
linux
皓月盈江2 小时前
国产Linux银河麒麟操作系统安装开源免费Draw.io(diagrams.net)替代Visio
linux·ubuntu·开源·draw.io·visio·银河麒麟操作系统·diagrams.net
2301_793102493 小时前
linux——C程序的编译与调试
linux
Web极客码3 小时前
Proxmox VE与VMWare ESXi:选择适合您的虚拟化平台
服务器·虚拟化·vmware esxi·proxmox ve
三体世界3 小时前
HTTPS加密原理
linux·开发语言·网络·c++·网络协议·http·https
CBCU3 小时前
关于ubuntu环境下vscode进行debug的随笔
linux·vscode·ubuntu
浅浅练习两年半4 小时前
5.3 LED字符设备驱动
linux
云资源服务商4 小时前
探索阿里云网络与CDN产品:解锁高效网络体验
服务器·网络·阿里云·云计算
우 유5 小时前
【ing】Ubuntu安装Anaconda及环境配置\docker\pycharm
linux·运维·ubuntu
lqjun08275 小时前
在Ubuntu 24.04上安装cuDNN v8.x.x兼容CUDA 11.8
linux·运维·ubuntu
热门推荐
01字节跳动“扣子空间”AI智能体全解析02扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解03KGG转MP3工具|非KGM文件|解密音频04免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)05Coze扣子平台完整体验和实践(附国内和国际版对比)06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07AI Agent | Coze 插件使用指南:从功能解析到实操步骤08DeepSeek各版本说明与优缺点分析09YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】10GPU 进阶笔记(二):华为昇腾 910B GPU