KingbaseV8R6配置SSL

一、准备工作

a.获取镜像并加载
官方下载地址
kingbase_v8r6.tar

docker load -i kingbase_v8r6.tar

b.创建数据目录

# 创建数据持久化目录和 SSL 证书目录
mkdir -p /opt/docker/kingbaseV8R6_ssl/data /opt/docker/kingbaseV8R6_ssl/ssl
chmod -R 777 /opt/docker/kingbaseV8R6_ssl

二、生成SSL证书

使用 OpenSSL 生成自签名证书（在宿主机执行）：

a.进入ssl目录

cd /opt/docker/kingbaseV8R6_ssl/ssl/

b.生成服务端证书

# 1. 生成 CA 根证书和私钥
openssl genrsa -out root.key 2048
openssl req -new -x509 -days 3650 -key root.key -out root.crt \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Kingbase/CN=CA"

# 2. 生成服务器私钥和证书请求（CSR）
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Kingbase/CN=localhost"
# 如果 openssl req报错：Can't open /usr/local/openssl/openssl.cnf for reading, No such file or directory
# 是因为找不到openssl.cnf配置文件，可以使用find命令查找：
# find / -name "openssl.cnf" 2>/dev/null
# 例如找到的路径为 /etc/pki/tls/openssl.cnf ，则添加 -config 指定配置文件
# openssl req -new -key server.key -out server.csr -config /etc/pki/tls/openssl.cnf \
#   -subj "/C=CN/ST=Beijing/L=Beijing/O=Kingbase/CN=localhost"

# 3. 使用 CA 签署服务器证书
openssl x509 -req -days 3650 -in server.csr \
  -CA root.crt -CAkey root.key -set_serial 01 -out server.crt

# 4. 设置私钥权限（数据库要求严格权限）
chmod 600 server.key
chmod 600 root.key

# 5. 验证证书
openssl verify -CAfile root.crt server.crt

c.生成客户端证书

# 生成客户端私钥
openssl genrsa -out client.key 2048

# 生成客户端证书请求（CSR）
openssl req -new -key client.key -out client.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=Kingbase/CN=system"  # CN 使用数据库用户名

# 使用 CA 签署客户端证书
openssl x509 -req -days 3650 -in client.csr \
  -CA root.crt -CAkey root.key -set_serial 02 -out client.crt

# 设置权限
chmod 600 client.key

d.转换客户端私钥格式
JDBC 驱动不支持 PEM 格式的 RSA 私钥，需要转换为 PKCS#8 格式。

openssl pkcs8 -topk8 -inform PEM -outform DER -in client.key -out client.pk8 -nocrypt

三、运行容器

a.运行（数据库密码根据实际情况修改）

docker run -d \
  --name kingbase_ssl \
  --privileged=true \
  --restart=always \
  -p 44321:54321 \
  -v /opt/docker/kingbaseV8R6_ssl/data:/home/kingbase/userdata \
  -v /opt/docker/kingbaseV8R6_ssl/ssl:/home/kingbase/ssl \
  -e DB_USER=system \
  -e DB_PASSWORD={{自定义密码}} \
  -e DB_MODE=oracle \
  -e NEED_START=yes \
  kingbase_v008r006c008b0020_single_x86:v1 \
  /usr/sbin/init

b.查看日志

docker logs -f kingbase_ssl

c.客户端连接测试

连接信息如下：

hostname: localhost

port: 44321

username1: system

password1: {{自定义密码}}

四、配置SSL

a.进入容器

docker exec -it kingbase_ssl bash

b.将证书复制到数据目录

cp /home/kingbase/ssl/server.crt /home/kingbase/userdata/data
cp /home/kingbase/ssl/server.key /home/kingbase/userdata/data
cp /home/kingbase/ssl/root.crt /home/kingbase/userdata/data
cp /home/kingbase/ssl/client.crt /home/kingbase/userdata/data
cp /home/kingbase/ssl/client.key /home/kingbase/userdata/data

c.修改 kingbase.conf 配置文件

vi /home/kingbase/userdata/data/kingbase.conf

# 修改或添加如下内容：
ssl = on                                    # 开启 SSL
ssl_cert_file = 'server.crt'                # 服务器证书
ssl_key_file = 'server.key'                 # 服务器私钥
ssl_ca_file = 'root.crt'                    # CA 根证书（用于客户端认证）

d.修改 sys_hba.conf 配置文件

vi /home/kingbase/userdata/data/sys_hba.conf

# 修改或添加如下内容：
hostssl    all    all    0.0.0.0/0    md5        clientcert=verify-ca

只保留 local 和 hostssl ，注释host，则只允许SSL连接

五、重启数据库

# 退出容器
exit

# 重启
docker restart kingbase_ssl

六、验证SSL连接

a.ksql验证

需要用到证书文件：client.crt、client.key、root.crt

# 执行如下命令并输入密码后登录成功
ksql "host=localhost port=54321 user=system dbname=test sslmode=verify-ca sslcert=client.crt sslkey=client.key sslrootcert=root.crt"
# 执行如下SQL语句
SELECT ssl, version, cipher FROM sys_stat_ssl WHERE pid = pg_backend_pid();
# 出现如下内容，则是SSL连接
 ssl | version |         cipher         
-----+---------+------------------------
 t   | TLSv1.3 | TLS_AES_256_GCM_SHA384

b.dbeaver验证

需要用到证书文件：client.crt、client.pk8 、root.crt

设置如下四个驱动属性：