配置SSL连接
Data Studio可以使用安全套接字层[SSL]选项连接到数据库。使用SSL连接方式,用户必须在客户端或应用程序代码中配置相关的SSL连接参数。GaussDB(DWS)管理控制台提供了客户端所需的SSL证书,该SSL证书包含了客户端所需的默认证书、私钥、根证书以及私钥密码加密文件。
服务器配置
GaussDB(DWS)在集群部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。
SSL证书和客户端配置
用户需要配置客户端配置。
- GaussDB(DWS)提供SSL证书下载。
登录GaussDB(DWS)管理控制台,在左侧导航栏中,选择“管理 > 连接客户端”。在“下载驱动程序”区域,单击“下载SSL证书”进行下载。
图1 下载SSL证书
- 将下载的压缩包“dws_ssl_cert.zip”解压,得到证书文件。然后在Data Studio客户端单击“SSL”页签,设置如下参数:
表1 配置SSL参数 字段名称
说明
客户端SSL证书
选择SSL证书解压目录下的“sslcert\client.crt”文件。
客户端SSL密钥
客户端SSL密钥只支持PK8格式,请选择SSL证书解压目录下的“sslcert\client.key.pk8”文件。
根证书
当“SSL模式”设为“verify-ca”或“verify-full”时,必须设置根证书,请选择SSL证书解压目录下的“sslcert\cacert.pem”文件。
SSL密码
客户端pk8格式SSL密钥密码,默认密码为“Gauss@MppDB”。
SSL模式
GaussDB(DWS)支持的SSL模式有:
- require:所使用的SSL factory无需验证,不会验证证书有效性。
- verify-ca:会使用相应的SSL factory检查CA是否正确。
- verify-full:会使用相应的SSL factory检查CA和数据库是否正确。
GaussDB(DWS)不支持“verify-full”模式。
- 选择“客户端SSL证书”和“客户端SSL密钥”,可使用安全连接从Data Studio中导出DDL和数据。
- 如果为“客户端SSL证书”和“客户端SSL密钥”选择了无效的文件,将导致导出失败。有关详情,请参见故障处理。
- 如果取消选中“启用SSL”复选框并继续操作,则会弹出“连接安全告警”对话框。要设置是否显示该安全告警,请参见表1。
- “继续”:单击“继续”,继续使用不安全的连接。
- “取消”:单击“取消”并启用SSL。
- “不再显示”:如果勾选该字段,当前登录的Data Studio实例在后续连接时,不再显示“连接安全告警”对话框。
- Data Studio首次访问gs-dump特性时,会弹框要求输入客户端密钥。
图2 配置SSL参数