kingbase配置SSL双向认证

SSL简介:

SSL属于传输加密,在服务器端和客户端建立加密通信渠道来保证数据安全,防止数据在网络传输过程中被篡改和拦截。SSL加密可以使用第三方证书机构颁发的数字证书,也可以使用自签名证书。这里我们使用自签名证书。

背景:

现场是V8R3一主一从集群模式,集群模式相较于单机主要是sys_hba.conf的配置要注意,主备机都需要同步证书并修改配置

具体步骤:

一、检查openssl是否安装

openssl version

若没有安装

yum -y install openssl

yum -y install openssl-devel

二、生成一个有效期很长的自签名证书

cd 到数据目录

openssl req -new -text -out server.req -days 36500

openssl rsa -in privkey.pem -out server.key

rm -f privkey.pem

openssl req -x509 -in server.req -text -key server.key -out server.crt -days 36500
chmod og-rwx server.key
cp server.crt root.crt

chmod 600 server.crt root.crt server.key

三、配置本地可ssl登录

cd /home/kingbase

mkdir .kingbase

chmod 0700 .kingbase
cd .kingbase

生成kingbase8.key
将第一步data下创建的root.crt文件和server.key文件cp到.kingbase目录下
openssl genrsa -des3 -out kingbase.key 1024
openssl rsa -in kingbase.key -out kingbase.key
chmod 400 kingbase.key

生成kingbase8.csr,CN需要指定为要连接数据库的用户名system(需要免密登录的话必须指定正确,不需要的话并不强制确定)

openssl req -new -key kingbase.key -out kingbase.csr -subj '/C=GB/ST=Berkshire/L=Newbury/O=Kingbase/CN=system' -days 36500

生成kingbase8.crt
openssl X509 -sha1 -req -in kingbase.csr -CA root.crt -CAkey server.key -out kingbase.crt -CAcreateserial -days 36500

生成kingbase8.pk8
openssl pkcs8 -topk8 -outform DER -in kingbase.key -out kingbase.pk8 -nocrypt

用金仓的管理工具连接此库需要kingbase.pk8 (密钥)kingbase.crt(证书)、root.crt(CA证书)

cd /home/kingbase/.kingbase
chmod 600 *

四、配置数据库SSL参数

主备数据库kingbase.conf参数修改(集群的话,主备机data/kingbase.conf和etc/kingbase.conf需要保持一致)
ssl = on
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
ssl_ca_file = 'root.crt'

主备机修改sys_hba.conf,增加如下内容

##SYSTEM用户不用ssl验证,避免流复制、物理逻辑备份受影响

host all SYSTEM 192.168.233.0/24 md5 

##SUPERMANAGER_V8ADMIN不用ssl验证,避免kingbasecluster检查数据库状态受影响
host all SUPERMANAGER_V8ADMIN 192.168.233.0/24 md5

##其他用户均强制使用ssl验证
hostssl all all 0.0.0.0/0 md5 clientcert=1

五、重启备机在重启主机 

sys_ctl restart -D 数据目录

六、重启集群

kingbase_monitor stop

kingbase_monitor start

连接:

使用jdbc连接配置:

连接串后加参数并将root.crt、server.crt、server.crt上传到项目的主目录

sslmode=verify-ca&sslrootcert=root.crt&sslcert=server.crt&sslkey=server.crt

注意:如果是原生pg的驱动可以使用root.crt、server.crt、server.crt;

但如果是金仓的驱动需要使用kingbase.crt 、kingbase.pk8、 root.crt

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/662676.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vuex store,mutations,getters,actions

文章目录 1.vuex概述2.构建vuex【多组件数据共享】环境Son1.vueSon2.vueApp.vue 3.创建一个空仓库4.如何提供&访问vuex的数据①核心概念 - state状态1.通过store直接访问2.通过辅助函数简化代码 ②核心概念 - mutations(粗略) 5.核心概念 - mutation…

Leetcode29-最大频率元素计数(3005)

1、题目 给你一个由 正整数 组成的数组 nums 。 返回数组 nums 中所有具有 最大 频率的元素的 总频率 。 元素的 频率 是指该元素在数组中出现的次数。 示例 1: 输入:nums [1,2,2,3,1,4] 输出:4 解释:元素 1 和 2 的频率为 …

python3基础学习一

打印print()函数 R 主要的原因是为防止转义,保证r后面的内容全文输出f “主要作用就是格式化字符串,加上f以后,{“变量/表达式”},花括号里的变量和表达式就可以使用了” def ptSubstr():msg "hello,world!"print(msg[0:-1]);prin…

在Django Admin添加快捷方式django-admin-shortcuts

在Django管理主页上添加简单漂亮的快捷方式。 1.安装 pip install django-admin-shortcuts 2在settings.py注册django-admin-shortcuts INSTALLED_APPS [admin_shortcuts,django.contrib.admin,....... ] 3.添加ADMIN_SHORTCUTS设置 ADMIN_SHORTCUTS [ { ti…

k8s二进制及负载均衡集群部署详解

目录 常见部署方式 二进制部署流程 环境准备 操作系统初始化配置 关闭防火墙 配置SELinux 关闭SWAP 根据规划设置主机名 在master添加hosts,便于主机名解析 调整内核参数 配置时间同步 部署docker引擎 在所有node节点部署docker引擎 部署etcd集群 签发…

合约短线高胜率策略-扭转乾坤指标使用说明

扭转乾坤指标使用说明 行情判断 双绿线 多趋势双红线 空趋势大绿线 小红线 多震荡大红线 小绿线 空震荡 进场条件 趋势行情进场 多趋势 多信号 底金叉 做多空趋势 空信号 顶死叉 做空 震荡行情进场 多震荡 多信号 底金叉 做多多震荡 空信号 顶死叉 做空空…

idea docker 镜像生成太慢太大问题

文章目录 前言一、更小的jdk基础镜像二、服务瘦包(thin jar)2.1 maven2.2 修改dockerfile2.3 container run options 三、 基础jdk镜像入手?总结 前言 idea docker 内网应用实践遗留问题 idea docker插件 build 服务镜像太慢服务镜像太大 …

【Java程序设计】【C00223】基于Springboot+vue的图书购物商城(论文)

基于Springbootvue的图书购物商城(论文) 项目简介项目获取开发环境项目技术运行截图 项目简介 这是一个基于Springbootvue的前后端分离的图书商城购物系统 本系统分为用户以及管理员2个角色。 用户:用户登录后、可以查看新上架的书籍和新闻等…

npm ERR! reason: certificate has expired(淘宝镜像过期)

npm ERR! request to https://registry.npm.taobao.org/yauzl/-/yauzl-2.4.1.tgz failed, reason: certificate has expired 今天在执行npm install命令时,报错百度了下是淘宝证书过期原因 解决方法一 执行下面两个命令再进行npm install即可 npm cache clean --…

【深度学习】从0完整讲透深度学习第2篇:TensorFlow介绍和基本操作(代码文档已分享)

本系列文章md笔记(已分享)主要讨论深度学习相关知识。可以让大家熟练掌握机器学习基础,如分类、回归(含代码),熟练掌握numpy,pandas,sklearn等框架使用。在算法上,掌握神经网络的数学原理,手动实…

02链表:19、删除链表的倒数第N个节点

19、删除链表的倒数第N个节点 文章目录 19、删除链表的倒数第N个节点方法一:快慢指针 思路:使用虚拟头节点快慢指针,fast指针先走n1,直到为null,slow节点刚好在删除元素前一个位置,方便操作 重点&#xff1…

异步解耦之RabbitMQ(一)_RabbitMQ 简介

引言 什么是MQ?为什么要用MQ? MQ是消息队列(Message Queue)的简称。消息队列是一种在应用系统之间传递消息的方法,它实现了异步通信的机制,解耦了不同组件或系统之间的直接依赖关系。通过将消息发送到消息…

web学习笔记(十八)

目录 1.函数的参数 1.1显式参数 1.2隐式参数 (1)this (2)Arguments 1.3伪数组转换为真数组 2.函数补充知识点 2.1函数可以调用另一个函数 2.2闭包函数 1.函数的参数 1.1显式参数 显式参数就是我们自定义的参数。JavaScript函数定义显式参数时没…

2024美赛数学建模B题思路源码

赛题目的 赛题目的: 问题描述: 解题的关键: 问题一. 问题分析 问题解答 问题二. 问题分析 问题解答 问题三. 问题分析 问题解答 问题四. 问题分析 问题解答 问题五. 问题分析 问题解答

云计算基础(云计算概述)

目录 一、云计算概述 1.1 云计算的概念 1.1.1 云计算解决的问题 1.1.2 云计算的概念 1.1.3 云计算的组成 1.2 云计算主要特征 1.2.1 按需自助服务 1.2.2 泛在接入 1.2.3 资源池化 1.2.4 快速伸缩性 1.2.5 服务可度量 1.3 云计算服务模式 1.3.1 软件即服务(Softwar…

老师罚学生钱违法吗

在教师岗位上耕耘了近十年,我遇到过无数的学生和无数的教学情境。其中,有一个问题始终困扰着我:在某些情况下,我能否用“罚钱”的方式来纠正学生的行为?当然,这还涉及到许多复杂的因素:学校的规…

Pandas快问快答1-15题

如果你是一名使用python进行过数据处理的程序员,那你对Pandas必然不陌生。pandas是一个开源的第三方Python库,旨在提供快速、灵活和富有表现力的数据结构,以便能够简单、直观地处理关系型和标记型数据。它的名字来源于面板数据(Pa…

Linux项目的挂起与结束

后台挂起 nohup java -jar java_gobang.jar & 结束项目 先查询pid ps -ef | grep java_gobang 结束: kill -9 23183

2.2作业

1、编写C程序一般需经过的几个步骤依次是( A ) A. 编辑、调试、编译、连接 B. 编辑、编译、连接、运行 C. 编译、调试、编辑、连接 D. 编译、编辑、连接、运行 2、所谓数据封装就是将一组数据和与这组数据有关操作组装在一起,形成一个…

Ruoyi-Cloud-Plus_Nacos配置服务漏洞CVE-2021-29441_官方解决方法以及_修改源码解决---SpringCloud工作笔记199

CVE-2021-29441 这个漏洞是Nacos的,通过使用postman,直接访问接口: 就可以直接添加nacos的用户 Nacos是Alibaba的一个动态服务发现、配置和服务管理平台。攻击者通过添加Nacos-Server的User-Agent头部将可绕过(nacos.core.auth.enabled=true)鉴权认证,从而进行API操作。 …