使用SSL进行安全的TCP/IP连接
GaussDB(DWS)支持SSL标准协议,SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。为支持SSL连接方式,GaussDB(DWS)已经从CA认证中心申请到正式的服务器、客户端的证书和密钥(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem)。
SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。如果要强制使用SSL连接,需要在集群“安全设置”页面开启“服务器端是否强制使用SSL连接”,操作详情可参见设置SSL连接,客户端和服务器端SSL连接参数组合情况可请见客户端和服务器端SSL连接参数组合情况。
使用默认的证书可能存在安全风险,为了提高系统安全性,强烈建议用户定期更换证书以避免被破解的风险。如果需要更换证书,请联系数据库客服。
设置SSL连接
前提条件
- 修改安全配置参数并保存后,生效可能需要重启集群,否则将导致集群暂时不可用。
- 修改集群安全配置必须同时满足以下两个条件:
- 集群状态为“可用”或“非均衡”。
- 任务信息不能处于“创建快照中”、“节点扩容”、“配置中”或“重启中”。
操作步骤
- 登录GaussDB(DWS)管理控制台。
- 在左侧导航树中,单击“集群 > 专属集群”。
- 在集群列表中,单击指定集群的名称,然后单击“安全设置”。
默认显示“配置状态”为“已同步”,表示页面显示的是数据库当前最新结果。
- 在“SSL连接”区域中,单击“服务器端是否强制使用SSL连接”的设置开关进行设置,建议开启。
:开启,设置参数require_ssl=1,表示服务器端强制要求SSL连接。
:关闭,设置参数require_ssl=0,表示服务器端对是否通过SSL连接不作强制要求,默认为关闭。设置require_ssl参数详情请参见require_ssl(服务器)。
- 如果使用GaussDB(DWS)提供的gsql客户端或ODBC驱动,GaussDB(DWS)支持的SSL协议为TLSv1.2。
- 如果使用GaussDB(DWS)提供的JDBC驱动,支持的SSL协议有SSLv3、TLSv1、TLSv1.1、TLSv1.2。客户端与数据库之间实际使用何种SSL协议,依赖客户端使用的JDK(Java Development Kit)版本,一般JDK支持多个SSL协议。
- 单击“应用”。
系统将自动应用保存SSL连接设置,在“安全设置”页面,“配置状态”显示“应用中”。当“配置状态”显示为“已同步”,表示配置已保存生效。
在gsql客户端配置SSL认证相关的数字证书参数
GaussDB(DWS)在集群部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。
- 登录GaussDB(DWS)管理控制台,在左侧导航栏中,进入“连接客户端”页面。
- 在“下载驱动程序”区域,单击“下载SSL证书”进行下载。
图1 SSL证书下载
- 使用文件传输工具(例如WinSCP工具)将SSL证书上传到客户端主机。
例如,将下载的证书“dws_ssl_cert.zip”存放到“/home/dbadmin/dws_ssl/”目录下。
- 使用SSH远程连接工具(例如PuTTY)登录gsql客户端主机,然后执行以下命令进入SSL证书的存放目录,并解压SSL证书:
cd /home/dbadmin/dws_ssl/ unzip dws_ssl_cert.zip
- 在gsql客户端主机上,执行export命令,配置SSL认证相关的数字证书参数。
SSL认证有两种认证方式:双向认证和单向认证。认证方式不同用户所需配置的客户端环境变量也不同,详细介绍请参见SSL认证方式及客户端参数介绍。
双向认证需配置如下参数:
export PGSSLCERT="/home/dbadmin/dws_ssl/sslcert/client.crt" export PGSSLKEY="/home/dbadmin/dws_ssl/sslcert/client.key" export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"
单向认证需要配置如下参数:
export PGSSLMODE="verify-ca" export PGSSLROOTCERT="/home/dbadmin/dws_ssl/sslcert/cacert.pem"
- 从安全性考虑,建议使用双向认证方式。
- 配置客户端环境变量,必须包含文件的绝对路径。
- 修改客户端密钥的权限。
客户端根证书、密钥、证书以及密钥密码加密文件需保证权限为600。如果权限不满足要求,则客户端无法以SSL方式连接到集群。
chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem
SSL认证方式及客户端参数介绍
SSL认证有两种认证方式,如表1所示。从安全性考虑,建议使用双向认证方式。
认证方式 |
含义 |
配置客户端环境变量 |
维护建议 |
---|---|---|---|
双向认证(推荐) |
客户端验证服务器证书的有效性,同时服务器端也要验证客户端证书的有效性,只有认证成功,连接才能建立。 |
设置如下环境变量:
|
该方式应用于安全性要求较高的场景。使用此方式时,建议设置客户端的PGSSLMODE变量为verify-ca。确保了网络数据的安全性。 |
单向认证 |
客户端只验证服务器证书的有效性,而服务器端不验证客户端证书的有效性。服务器加载证书信息并发送给客户端,客户端使用根证书来验证服务器端证书的有效性。 |
设置如下环境变量:
|
为防止基于TCP链接的安全攻击,建议使用SSL证书认证功能。除配置客户端根证书外,建议客户端使用PGSSLMODE变量为verify-ca方式连接。 |
在客户端配置SSL认证相关的环境变量,详细信息请参见表2。
客户端环境变量的路径以“/home/dbadmin/dws_ssl/”为例,在实际操作中请使用实际路径进行替换。
环境变量 |
描述 |
取值说明 |
---|---|---|
PGSSLCERT |
指定客户端证书文件,包含客户端的公钥。客户端证书用以表明客户端身份的合法性,公钥将发送给对端用来对数据进行加密。 |
必须包含文件的绝对路径,如:
export PGSSLCERT='/home/dbadmin/dws_ssl/sslcert/client.crt' 默认值:空 |
PGSSLKEY |
指定客户端私钥文件,用以数字签名和对公钥加密的数据进行解密。 |
必须包含文件的绝对路径,如:
export PGSSLKEY='/home/dbadmin/dws_ssl/sslcert/client.key' 默认值:空 |
PGSSLMODE |
设置是否和服务器进行SSL连接协商,以及指定SSL连接的优先级。 |
取值及含义:
默认值:prefer
说明:
若集群外访问客户端时,部分节点出现报错:ssl SYSCALL error。则可执行export PGSSLMODE="allow"或export PGSSLMODE="prefer"。 |
PGSSLROOTCERT |
指定为客户端颁发证书的根证书文件,根证书用于验证服务器证书的有效性。 |
必须包含文件的绝对路径,如:
export PGSSLROOTCERT='/home/dbadmin/dws_ssl/sslcert/certca.pem' 默认值:空 |
PGSSLCRL |
指定证书吊销列表文件,用于验证服务器证书是否在废弃证书列表中,如果在,则服务器证书将会被视为无效证书。 |
必须包含文件的绝对路径,如:
export PGSSLCRL='/home/dbadmin/dws_ssl/sslcert/sslcrl-file.crl' 默认值:空 |
客户端和服务器端SSL连接参数组合情况
客户端最终是否使用SSL加密连接方式、是否验证服务器证书,取决于客户端参数sslmode与服务器端(即GaussDB(DWS)集群侧)参数ssl、require_ssl。参数说明如下:
- ssl(服务器)
ssl参数表示是否开启SSL功能。on表示开启,off表示关闭。
- 默认为on,不支持在GaussDB(DWS)管理控制台上设置。
- require_ssl(服务器)
require_ssl参数是设置服务器端是否强制要求SSL连接,该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。
- 默认为off。require_ssl参数可通过GaussDB(DWS)管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。
- sslmode(客户端)
可在SQL客户端工具中进行设置。
- 在gsql命令行客户端中,为“PGSSLMODE”参数。
- 在Data Studio客户端中,为“SSL模式”参数。
客户端参数sslmode与服务器端参数ssl、require_ssl配置组合结果如下:
ssl(服务器) |
sslmode(客户端) |
require_ssl(服务器) |
结果 |
---|---|---|---|
on |
disable |
on |
由于服务器端要求使用SSL,但客户端针对该连接禁用了SSL,因此无法建立连接。 |
disable |
off |
连接未加密。 |
|
allow |
on |
连接经过加密。 |
|
allow |
off |
连接未加密。 |
|
prefer |
on |
连接经过加密。 |
|
prefer |
off |
连接经过加密。 |
|
require |
on |
连接经过加密。 |
|
require |
off |
连接经过加密。 |
|
verify-ca |
on |
连接经过加密,且验证了服务器证书。 |
|
verify-ca |
off |
连接经过加密,且验证了服务器证书。 |
|
off |
disable |
on |
连接未加密。 |
disable |
off |
连接未加密。 |
|
allow |
on |
连接未加密。 |
|
allow |
off |
连接未加密。 |
|
prefer |
on |
连接未加密。 |
|
prefer |
off |
连接未加密。 |
|
require |
on |
由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 |
|
require |
off |
由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 |
|
verify-ca |
on |
由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 |
|
verify-ca |
off |
由于客户端要求使用SSL,但服务器端禁用了SSL,因此无法建立连接。 |