配置SSL连接

服务器配置

GaussDB(DWS) 在集群部署完成后，默认已开启SSL认证模式。服务器端证书，私钥以及根证书已经默认配置完成。

SSL证书和客户端配置

用户需要配置客户端配置。

1. GaussDB(DWS) 提供SSL证书下载。

   登录GaussDB(DWS) 管理控制台，在左侧导航栏中，进入“连接客户端”页面。在“下载驱动程序”区域，单击“下载SSL证书”进行下载。

2. 将下载的压缩包“dws_ssl_cert.zip”解压，得到证书文件。然后在Data Studio客户端单击“SSL”页签，设置如下参数：

   表1 配置SSL参数

   字段名称	说明
   客户端SSL证书	选择SSL证书解压目录下的“sslcert\client.crt”文件。
   客户端SSL密钥	客户端SSL密钥只支持PK8格式，请选择SSL证书解压目录下的“sslcert\client.key.pk8”文件。
   根证书	当“SSL模式”设为“verify-ca”或“verify-full”时，必须设置根证书，请选择SSL证书解压目录下的“sslcert\cacert.pem”文件。
   SSL密码	客户端pk8格式SSL密钥密码。
   SSL模式	GaussDB(DWS) 支持的SSL模式有： require：所使用的SSL factory无需验证，不会验证证书有效性。 verify-ca：会使用相应的SSL factory检查CA是否正确。 verify-full：会使用相应的SSL factory检查CA和数据库是否正确。 GaussDB(DWS) 不支持“verify-full”模式。

   

   • 选择“客户端SSL证书”和“客户端SSL密钥”，可使用安全连接从Data Studio中导出DDL和数据。
   • 如果为“客户端SSL证书”和“客户端SSL密钥”选择了无效的文件，将导致导出失败。有关详情，请参见故障处理。
   • 如果取消选中“启用SSL”复选框并继续操作，则会弹出“连接安全告警”对话框。要设置是否显示该安全告警，请参见表1。
     • “继续”：单击“继续”，继续使用不安全的连接。
     • “取消”：单击“取消”并启用SSL。
     • “不再显示”：如果勾选该字段，当前登录的Data Studio实例在后续连接时，不再显示“连接安全告警”对话框。
   • Data Studio首次访问gs-dump特性时，会弹框要求输入客户端密钥。
   图1 配置SSL参数