日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調研
輸入文檔關鍵字查找
首頁 云原生數據庫 PolarDB 云原生數據庫PolarDB PostgreSQL版 運維指南 數據安全和加密 SSL鏈路加密 配置客戶端CA證書

配置客戶端CA證書

更新時間:
產品詳情
相關技術圈
我的收藏

如果使用云端證書或自定義證書開啟SSL鏈路加密,則表示在SSL鏈路中,客戶端驗證數據庫的真實性。如果您需要數據庫也驗證客戶端的真實性,還需要配置客戶端CA證書,本文介紹配置客戶端CA證書的具體操作。

前提條件

  • 集群為PolarDB PostgreSQL版 14、15或以上版本,其中 PolarDB PostgreSQL版14要求內核版本大于等于14.10.21.0版本,主地址可允許配置自定義證書、客戶端CA證書等。

  • 集群的數據庫代理版本要求至少為2.3.51版本,集群地址和自定義地址才允許配置自定義證書、客戶端CA證書等。

  • 已完成使用云端證書快速配置SSL加密配置自定義證書

  • 已安裝OpenSSL工具。

    說明

    如果您使用Linux系統,系統會自帶OpenSSL工具,無需安裝。如果您使用Windows系統,請獲取OpenSSL 軟件包并安裝。

注意事項

  • 配置客戶端CA證書后,已有連接需要斷開重連,加密才會生效。

  • 配置客戶端CA證書、配置客戶端證書吊銷文件列表、關閉客戶端CA證書、關閉客戶端證書吊銷文件列表,會存在連接閃斷,請在業務低峰期間操作。

步驟一:獲取客戶端證書

本文以CentOS系統配置為例,如果您使用Windows操作系統,操作步驟中的openssl命令與CentOS系統中的openssl命令配置相同。

  1. 生成自簽名證書(ca1.crt)和自簽名證書私鑰(ca1.key)。

    openssl req -new -x509 -days 3650 -nodes -out ca1.crt -keyout ca1.key -subj "/CN=root-ca1"

  2. 生成客戶端證書請求文件(client.csr)和客戶端證書私鑰(client.key)。

    openssl req -new -nodes -text -out client.csr -keyout client.key -subj "/CN=<客戶端用戶名>"
    說明

    該命令中 -subj 參數后的CN取值請配置為客戶端訪問數據庫的用戶名。

  3. 生成客戶端證書(client.crt)。

    openssl x509 -req -in client.csr -text -days 365  -CA ca1.crt -CAkey ca1.key -CAcreateserial  -out client.crt

完成以上配置后,執行ls命令,查看已生成的文件:

# ls
ca1.crt  ca1.key  ca1.srl  client.crt  client.csr  client.key

關鍵文件解釋如下:

  1. client.crt:客戶端證書文件。

  2. client.key:客戶端私鑰文件。

  3. ca1.crt:自簽名證書。

  4. ca1.key:自簽名證書私鑰。

步驟二:配置客戶端 CA 證書

說明

配置客戶端CA證書后,集群的運行狀態會變成修改SSL中,請耐心等待運行狀態變更為運行中后再進行后續操作。如果您后續要更新客戶端CA證書,也請參考如下步驟。

  1. 登錄PolarDB管理控制臺

  2. 在頁面左上角,選擇集群所在地域。

  3. 找到目標集群,單擊集群ID。

  4. 在左側菜單欄中單擊配置與管理 > 安全管理

  5. SSL配置頁簽,選擇您需要配置客戶端CA證書的主地址或集群地址,然后單擊對應的設置客戶端CA證書按鈕。

  6. 設置客戶端CA證書對話框中,選擇狀態開啟,然后將自簽名證書文件(ca1.crt)內容填寫到對話框中,然后單擊確定按鈕。

    說明

    自簽名證書文件(ca1.crt)獲取方式請參見步驟一:獲取客戶端證書。

    image.png

步驟三:客戶端連接數據庫

PolarDB PostgreSQL版數據庫支持通過SSL遠程連接,更多信息,請參見SSL連接PolarDB PostgreSQL數據庫

步驟四:(可選)配置證書吊銷文件

如果您不再使用某一個客戶端證書時,可以將客戶端證書吊銷,數據庫將拒絕此客戶端登錄。

說明

配置證書吊銷文件后,集群的運行狀態會變成修改SSL中,請耐心等待運行狀態變更為運行中后再進行后續操作。如果您后續要更新證書吊銷文件,也請參考如下步驟。

  1. 準備配置文件。

    touch /etc/pki/CA/index.txt
echo 1000 > /etc/pki/CA/crlnumber
    說明

    如果您使用Windows系統,需要按照如下步驟操作:

    1. 在OpenSSL安裝目錄 \bin 目錄下創建CA文件夾。

    2. 在CA文件夾內創建 index.txt 文件。

    3. 在命令行執行如下命令:

      echo 1000 > <OpenSSL 安裝目錄>\bin\CA\crlnumber

    4. 修改C:\Program Files\Common Files\SSL\ 目錄下中的 openssl.cnf 文件。

      # 找到[ CA_default ]配置項

dir = "<OpenSSL 安裝目錄>\\bin\\CA"

  2. 吊銷客戶端證書(client.crt)。

    openssl ca -revoke client.crt -cert ca1.crt -keyfile ca1.key
    說明

    該命令需要使用到自簽名證書(ca1.crt)及自簽名證書私鑰(ca1.key),請參見步驟一:獲取客戶端證書。

  3. 生成證書吊銷文件(client.crl)。

    openssl ca -gencrl -out client.crl -cert ca.crt -keyfile ca.key

  4. 進入配置與管理 > 安全管理頁面。 在SSL配置頁簽,選擇您需要配置客戶端吊銷文件的主地址或者任意集群地址,然后單擊對應的設置客戶端吊銷文件按鈕。

  5. 設置客戶端吊銷文件對話框中,選擇狀態開啟,將證書吊銷文件(client.crl)內容填寫到對話框中,然后單擊確定。

    image.png

步驟五:(可選)關閉客戶端CA證書

說明

關閉客戶端CA證書后,集群的運行狀態會變成修改SSL中,請耐心等待運行狀態變更為運行中后再進行后續操作。

如果您需要關閉主地址或集群地址的客戶端CA證書,可以在SSL配置頁面,找到對應主地址或集群地址的設置客戶端CA證書按鈕并單擊。在彈出的設置客戶端CA證書對話框中,單擊關閉按鈕,并單擊確定即可。

image.png

步驟六:(可選)關閉客戶端證書吊銷文件

說明

關閉客戶端證書吊銷文件后,集群的運行狀態會變成修改SSL中,請耐心等待運行狀態變更為運行中后再進行后續操作。

如果您需要關閉主地址或集群地址的客戶端證書吊銷文件,可以在SSL配置頁面,找到對應主地址或集群地址的設置客戶端吊銷文件按鈕并點擊。在彈出的設置客戶端吊銷文件對話框中,單擊關閉按鈕,并單擊確定即可。

image.png