【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践

2024年 6月 18日 64.9k 0

作者:马顺华

在运维管理领域深耕多年,具备扎实的理论基础与丰富的实践经验。我深耕于技术前沿,不断追求运维自动化与效率的最大化。
我精通运维自动化流程,熟悉OceanBase、MySQL等多种数据库的部署与运维,具备从部署到维护的全流程管理能力。此外,我还持有OceanBase的OBCA和OBCP证书,以及OpenGauss社区认证结业证书、崖山DBCA、亚信AntDBCA、翰高HDCA、GBase 8a | 8c | 8s 等多项权威认证,这些不仅证明了我的专业技能,也展示了我对技术的深厚理解和热爱。
在OceanBase & 墨天轮的技术征文大赛中,我凭借深厚的技术实力和独到的见解,多次荣获一、二、三等奖。同时,在openGauss第五届、第六届技术征文大赛中,我也屡获殊荣。此外,我还经常在墨天轮等平台发布原创技术文章,多次被首页推荐,积极与业界分享我的运维经验和见解。

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-1

前言

随着信息安全形势的日益严峻,等保(信息安全等级保护)要求成为各行业信息系统必须遵守的标准。在数据库领域,OpenGauss作为一款高性能、安全、可靠的开源关系型数据库,也需要满足等保要求,确保数据的安全传输。本文将详细介绍在等保要求下,如何为OpenGauss配置SSL客户端接入认证。

一、配置客户端接入认证

背景信息
如果主机需要远程连接数据库,必须在数据库系统的配置文件中增加此主机的信息,并且进行客户端接入认证。配置文件(默认名称为pg_hba.conf)存放在数据库的数据目录里。hba(host-based authentication)表示是基于主机的认证。

本产品支持如下三种认证方式,这三种方式都需要配置“pg_hba.conf”文件。

基于主机的认证:服务器端根据客户端的IP地址、用户名及要访问的数据库来查看配置文件从而判断用户是否通过认证。
口令认证:包括远程连接的加密口令认证和本地连接的非加密口令认证。
SSL加密:使用OpenSSL(开源安全通信库)提供服务器端和客户端安全连接的环境。
“pg_hba.conf”文件的格式是一行写一条信息,表示一个认证规则,空白和注释(以#开头)被忽略。

[omm@worker1 dn1]$ ls
base gswlm_userinfo.cfg pg_errorinfo pg_llog pg_replslot pg_twophase postgresql.conf.lock server.key
cacert.pem mot.conf pg_hba.conf pg_location pg_serial PG_VERSION postmaster.opts server.key.cipher
gaussdb.state pg_clog pg_hba.conf.bak pg_logical pg_snapshots pg_xlog postmaster.pid server.key.rand
global pg_csnlog pg_hba.conf.lock pg_multixact pg_stat_tmp postgresql.conf postmaster.pid.lock undo
gs_gazelle.conf pg_ctl.lock pg_ident.conf pg_notify pg_tblspc postgresql.conf.guc.bak server.crt
[omm@worker1 dn1]$ vim pg_hba.conf

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-2

每个认证规则是由若干空格和/,空格和制表符分隔的字段组成。如果字段用引号包围,则它可以包含空白。一条记录不能跨行存在。

1. 以操作系统用户omm登录数据库主节点。

2. 配置客户端认证方式

允许客户端以“jack”用户连接到本机,此处远程连接禁止使用“omm”用户(即数据库初始化用户)。

例如,下面示例中配置允许IP地址为192.0.2.121的客户端访问本机。
gs_guc set -N all -I all -h “host all jack 192.0.2.121/32 sha256”

[omm@worker1 dn1]$ gs_guc set -N all -I all -h "host all jack 192.0.2.121/32 sha256"
The gs_guc run with the following arguments: [gs_guc -N all -I all -h host all jack 192.0.2.121/32 sha256 set ].
Begin to perform the total nodes: 1.
Popen count is 1, Popen success count is 1, Popen failure count is 0.
Begin to perform gs_guc for datanodes.
Command count is 1, Command success count is 1, Command failure count is 0.

Total instances: 1. Failed instances: 0.
ALL: Success to perform gs_guc!

[omm@worker1 dn1]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-3

3. 创建“jack”用户

使用“jack”用户前,需先本地连接数据库,并在数据库中使用如下语句建立“jack”用户:
CREATE USER jack PASSWORD ‘Test@123’;

[root@worker1 mnt]# su - omm
Last login: Mon Jun 10 10:04:09 CST 2024 on pts/1
[omm@worker1 ~]$ gsql -d postgres -p 15000
gsql ((openGauss 6.0.0-RC1 build ed7f8e37) compiled at 2024-03-31 11:59:31 commit 0 last mr )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.

openGauss=# CREATE USER jack PASSWORD 'Test@123';
CREATE ROLE
openGauss=#

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-4

-N all表示openGauss的所有主机。

-I all表示主机的所有实例。

-h表示指定需要在“pg_hba.conf”增加的语句。

all表示允许客户端连接到任意的数据库。

jack表示连接数据库的用户。

192.0.2.121/32表示只允许IP地址为192.0.2.121的主机连接。此处的IP地址不能为openGauss内的IP,在使用过程中,请根据用户的网络进行配置修改。32表示子网掩码为1的位数,即255.255.255.255。

sha256表示连接时jack用户的密码使用sha256算法加密。

这条命令在数据库主节点实例对应的“pg_hba.conf”文件中添加了一条规则,用于对连接数据库主节点的客户端进行鉴定。

“pg_hba.conf”文件中的每条记录可以是下面四种格式之一,四种格式的参数说明请参见配置文件参考。
[omm@worker1 dn1]$ vim pg_hba.conf

local DATABASE USER METHOD [OPTIONS]
host DATABASE USER ADDRESS METHOD [OPTIONS]
hostssl DATABASE USER ADDRESS METHOD [OPTIONS]
hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]

因为认证时系统是为每个连接请求顺序检查“pg_hba.conf”里的记录的,所以这些记录的顺序是非常关键的。

说明:
在配置“pg_hba.conf”文件时,请依据通讯需求按照格式内容从上至下配置记录,优先级高的需求需要配置在前面。openGauss和扩容配置的IP优先级最高,用户手动配置的IP请放在这二者之后,如果已经进行的客户配置和扩容节点的IP在同一网段,请在扩容前删除,扩容成功后再进行配置。
因此对于认证规则的配置建议如下: 靠前的记录有比较严格的连接参数和比较弱的认证方法。靠后的记录有比较宽松的连接参数和比较强的认证方法。

说明:

一个用户要想成功连接到特定的数据库,不仅需要通过pg_hba.conf中的规则检查,还必须要有该数据库上的CONNECT权限。如果希望控制某些用户只能连接到指定数据库,赋予/撤销CONNECT权限通常比在pg_hba.conf中设置规则更为简单。

4. 配置客户端认证示例

对应openGauss外部客户端连接,trust为不安全的认证方式,请将认证方式设置为sha256。

[omm@worker1 dn1]$ vim pg_hba.conf

示例
TYPE DATABASE USER ADDRESS METHOD

“local” is for Unix domain socket connections only
#表示只允许以安装时-U参数指定的用户从服务器本机进行连接。
local all all trust
IPv4 local connections:
#表示允许jack用户从192.0.2.121主机上连接到任意数据库,使用sha256算法对密码进行加密。
host all jack 192.0.2.121/32 sha256
#表示允许任何用户从192.0.2.121/24网段的主机上连接到任意数据库,使用sha256算法对密码进行加密,并且经过SSL加密传输。
hostssl all all 192.0.2.121/24 sha256
#表示禁止任何用户从192.0.2.121/32网段的主机上连接到任意数据库。
host all all 192.0.2.121/32 reject

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-5

二、SSL证书管理

openGauss默认配置了通过openssl生成的安全证书、私钥。

1、证书生成

在测试环境下,用户可以用通过以下方式进行数字证书测试。在客户的运行环境中,请使用从CA认证中心申请的数字证书。

2、自认证证书生成过程

2.1 搭建CA环境。

–假设用户为omm已存在,搭建CA的路径为test
–以root用户身份登录Linux环境,切换到用户omm

[root@worker1 ~]# su - omm
Last login: Tue Jun 4 22:05:29 CST 2024 on pts/0
[omm@worker1 ~]$ ls
gaussdb_tmp
[omm@worker1 ~]$ mkdir test
[omm@worker1 ~]$ cd /etc/pki/tls/
[omm@worker1 tls]$ ls
cert.pem certs misc openssl.cnf private
[omm@worker1 tls]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-6

–copy 配置文件openssl.cnf到test下

[omm@worker1 tls]$ ls
cert.pem certs misc openssl.cnf private
[omm@worker1 tls]$ cp openssl.cnf ~/test
[omm@worker1 tls]$ cd ~/test
[omm@worker1 test]$ ls
openssl.cnf
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-7

–到test文件夹下,开始搭建CA环境
–创建文件夹demoCA./demoCA/newcerts./demoCA/private

[omm@worker1 test]$ mkdir ./demoCA ./demoCA/newcerts ./demoCA/private
[omm@worker1 test]$ chmod 700 ./demoCA/private
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-8

–创建serial文件,写入01

[omm@worker1 test]$ echo '01'>./demoCA/serial

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-9

–创建文件index.txt

[omm@worker1 test]$ touch ./demoCA/index.txt
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-10

–修改openssl.cnf配置文件中的参数

[omm@worker1 test]$ ls
demoCA openssl.cnf
[omm@worker1 test]$ vim openssl.cnf

dir = ./demoCA
default_md = sha256

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-11
【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-12

–至此CA环境搭建完成

2.2 生成根私钥。

–生成CA私钥

[omm@worker1 test]$
[omm@worker1 test]$ openssl genrsa -aes256 -out demoCA/private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................................+++++
..................+++++
e is 65537 (0x010001)
Enter pass phrase for demoCA/private/cakey.pem:

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-13

–设置根私钥的保护密码,假设为Test@123
Enter pass phrase for demoCA/private/cakey.pem:
–再次输入私钥密码 Test@123
Verifying - Enter pass phrase for demoCA/private/cakey.pem:
【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-14

2.3 生成根证书请求文件。

–生成CA根证书申请文件careq.pem

[omm@worker1 test]$
[omm@worker1 test]$ openssl req -config openssl.cnf -new -key demoCA/private/cakey.pem -out demoCA/careq.pem
Enter pass phrase for demoCA/private/cakey.pem:

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-15

–输入根私钥密码 Test@123

[omm@worker1 test]$
[omm@worker1 test]$ openssl req -config openssl.cnf -new -key demoCA/private/cakey.pem -out demoCA/careq.pem
Enter pass phrase for demoCA/private/cakey.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-16

–以下名称请牢记,生成服务端证书和客户端证书时填写的信息需要与此处的一致

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shanxi
Locality Name (eg, city) [Default City]:xian
Organization Name (eg, company) [Default Company Ltd]:Abc
Organizational Unit Name (eg, section) []:hello
Common Name (eg, your name or your server's hostname) []:open
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-17

2.4 生成自签发根证书。

–生成根证书时,需要修改openssl.cnf文件,设置basicConstraints=CA:TRUE

[omm@worker1 test]$ vim openssl.cnf

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-18

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-19
–生成CA自签发根证书

[omm@worker1 test]$
[omm@worker1 test]$ openssl ca -config openssl.cnf -out demoCA/cacert.pem -keyfile demoCA/private/cakey.pem -selfsign -infiles demoCA/careq.pem
Using configuration from openssl.cnf
Enter pass phrase for demoCA/private/cakey.pem:

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-20
–输入根私钥密码 Test@123

[omm@worker1 test]$ openssl ca -config openssl.cnf -out demoCA/cacert.pem -keyfile demoCA/private/cakey.pem -selfsign -infiles demoCA/careq.pem
Using configuration from openssl.cnf
Enter pass phrase for demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Jun 9 06:58:22 2024 GMT
Not After : Jun 9 06:58:22 2025 GMT
Subject:
countryName = CN
stateOrProvinceName = shanxi
organizationName = Abc
organizationalUnitName = hello
commonName = world
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
2C:49:CE:02:2F:37:8F:AE:3E:5F:83:A9:38:1A:12:16:1B:E1:FB:C0
X509v3 Authority Key Identifier:
keyid:2C:49:CE:02:2F:37:8F:AE:3E:5F:83:A9:38:1A:12:16:1B:E1:FB:C0

Certificate is to be certified until Jun 9 06:58:22 2025 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-21

–至此CA根证书自签发完成,根证书demoCA/cacert.pem。

2.5 生成服务端证书私钥。

–生成服务端私钥文件server.key

[omm@worker1 test]$ openssl genrsa -aes256 -out server.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................................+++++
...................................................................................................+++++
e is 65537 (0x010001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-22

–服务端私钥的保护密码,假设为Test@123
Verifying - Enter pass phrase for server.key:
–再次确认服务端私钥的保护密码,即为Test@123

2.6 生成服务端证书请求文件。

–生成服务端证书请求文件server.req

[omm@worker1 test]$ openssl req -config openssl.cnf -new -key server.key -out server.req
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-23

–以下填写的信息与创建CA时的信息一致

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shanxi
Locality Name (eg, city) [Default City]:xian
Organization Name (eg, company) [Default Company Ltd]:Abc
Organizational Unit Name (eg, section) []:hello
Common Name (eg, your name or your server's hostname) []:world
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-24

2.7 生成服务端证书。

–生成服务端/客户端证书时,修改openssl.cnf文件,设置basicConstraints=CA:FALSE

[omm@worker1 test]$ vim openssl.cnf

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-25
–修改demoCA/index.txt.attr中属性为no。

[omm@worker1 test]$ vim demoCA/index.txt.attr

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-26
–对生成的服务端证书请求文件进行签发,签发后将生成正式的服务端证书server.crt

[omm@worker1 test]$ openssl ca -config openssl.cnf -in server.req -out server.crt -days 3650 -md sha256
Using configuration from openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 2 (0x2)
Validity
Not Before: Jun 9 07:07:00 2024 GMT
Not After : Jun 7 07:07:00 2034 GMT
Subject:
countryName = CN
stateOrProvinceName = shanxi
organizationName = Abc
organizationalUnitName = hello
commonName = world
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
2B:E3:44:16:67:1B:D1:27:C8:8D:9C:F1:02:72:3C:59:D8:26:B0:47
X509v3 Authority Key Identifier:
keyid:2C:49:CE:02:2F:37:8F:AE:3E:5F:83:A9:38:1A:12:16:1B:E1:FB:C0

Certificate is to be certified until Jun 7 07:07:00 2034 GMT (3650 days)
Sign the certificate? [y/n]:

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-27

–选择y对证书进行签发
Sign the certificate? [y/n]:y

–选择y,证书签发结束
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-28

去掉私钥密码保护,方法如下:

–去掉服务端私钥的密码保护

[omm@worker1 test]$ openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:
writing RSA key
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-29

–如果不去掉服务端私钥的密码保护需要使用gs_guc工具对存储密码进行加密保护

[omm@worker1 test]$ gs_guc encrypt -M server -D ./
The gs_guc run with the following arguments: [gs_guc -M server -D ./ encrypt ].
Password:
gs_guc encrypt -M server
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-30

–根据提示输入服务端私钥的密码,加密后会生成server.key.cipher,server.key.rand两个私钥密码保护文件

2.8 客户端证书,私钥的生成。

生成客户端证书和客户端私钥的方法和要求与服务端相同。

–生成客户端私钥

[omm@worker1 test]$ openssl genrsa -aes256 -out client.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
........+++++
...................................................+++++
e is 65537 (0x010001)
Enter pass phrase for client.key:
Verifying - Enter pass phrase for client.key:
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-31

–生成客户端证书请求文件

[omm@worker1 test]$ openssl req -config openssl.cnf -new -key client.key -out client.req
Enter pass phrase for client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shanxi
Locality Name (eg, city) [Default City]:xian
Organization Name (eg, company) [Default Company Ltd]:Abc
Organizational Unit Name (eg, section) []:hello
Common Name (eg, your name or your server's hostname) []:world
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-32
–对生成的客户端证书请求文件进行签发,签发后将生成正式的客户端证书client.crt

[omm@worker1 test]$ openssl ca -config openssl.cnf -in client.req -out client.crt -days 3650 -md sha256
Using configuration from openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 3 (0x3)
Validity
Not Before: Jun 9 07:15:47 2024 GMT
Not After : Jun 7 07:15:47 2034 GMT
Subject:
countryName = CN
stateOrProvinceName = shanxi
organizationName = Abc
organizationalUnitName = hello
commonName = world
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
1C:2C:1A:11:FE:56:55:E5:71:78:60:AF:C3:89:B5:7C:E2:C8:DF:F6
X509v3 Authority Key Identifier:
keyid:2C:49:CE:02:2F:37:8F:AE:3E:5F:83:A9:38:1A:12:16:1B:E1:FB:C0

Certificate is to be certified until Jun 7 07:15:47 2034 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-33

去掉私钥密码保护,方法如下:

–去掉客户端私钥的密码保护

[omm@worker1 test]$ openssl rsa -in client.key -out client.key
Enter pass phrase for client.key:
writing RSA key
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-34

–如果不去掉客户端私钥的密码保护需要使用gs_guc工具对存储密码进行加密保护

[omm@worker1 test]$ gs_guc encrypt -M client -D ./
The gs_guc run with the following arguments: [gs_guc -M client -D ./ encrypt ].
Password:
gs_guc encrypt -M client
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-35

–根据提示输入客户端私钥的密码,加密后会生成client.key.cipher,client.key.rand两个私钥密码保护文件。
将客户端密钥转化为DER格式,方法如下:

[omm@worker1 test]$ openssl pkcs8 -topk8 -outform DER -in client.key -out client.key.pk8 -nocrypt
[omm@worker1 test]$ ls
client.crt client.key.cipher client.key.rand demoCA server.crt server.key.cipher server.req
client.key client.key.pk8 client.req openssl.cnf server.key server.key.rand
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-36

三、用SSL进行安全的TCP/IP连接

openGauss支持SSL标准协议(TLS 1.2),SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。

前提条件:
从CA认证中心申请到正式的服务器、客户端的证书和密钥。(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem。)
当用户远程连接到数据库主节点时,需要使用sha256的认证方式。
当内部服务器之间连接时,需要使用trust的认证方式,支持IP白名单认证。
openGauss在数据库部署完成后,默认已开启SSL认证模式。服务器端证书,私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。

1、配置客户端参数。

已从CA认证中心申请到客户端默认证书,私钥,根证书以及私钥密码加密文件。假设证书、私钥和根证书都放在“/home/omm”目录。

[omm@worker1 test]$ ls
client.crt client.key.cipher client.key.rand demoCA server.crt server.key.cipher server.req
client.key client.key.pk8 client.req openssl.cnf server.key server.key.rand
[omm@worker1 test]$ pwd
/home/omm/test
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-37

1.1 双向认证需配置如下参数:

[omm@worker1 test]$
[omm@worker1 test]$ export PGSSLCERT="/home/omm/test/client.crt"
[omm@worker1 test]$ export PGSSLKEY="/home/omm/test/client.key"
[omm@worker1 test]$ export PGSSLMODE="verify-ca"
[omm@worker1 test]$ export PGSSLROOTCERT="/home/omm/test/cacert.pem"
[omm@worker1 test]$

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-38

1.2 单向认证需要配置如下参数:

export PGSSLMODE=“verify-ca”
export PGSSLROOTCERT="/home/omm/cacert.pem"

2、修改客户端密钥的权限。

客户端根证书,密钥,证书以及密钥密码加密文件的权限,需保证权限为600。如果权限不满足要求,则客户端无法以SSL连接到openGauss。

[omm@worker1 test]$ chmod 600 client.key
[omm@worker1 test]$ chmod 600 client.crt
[omm@worker1 test]$ chmod 600 client.key.cipher
[omm@worker1 test]$ chmod 600 client.key.rand
[omm@worker1 test]$ chmod 600 cacert.pem
[omm@worker1 test]$

须知: 从安全性考虑,建议使用双向认证方式。 配置客户端环境变量,必须包含文件的绝对路径。

3、验证SSL配置

使用支持SSL的数据库客户端工具(如gsql、psql等)连接到OpenGauss服务器,并检查连接是否使用了SSL。可以通过客户端工具的输出或服务器的日志文件来验证SSL连接是否成功建立。

[omm@worker1 test]$ gsql "sslmode=require host=192.0.2.121 port=15000 user=omm dbname=postgres"
gsql: FATAL: Forbid remote connection with initial user.
[omm@worker1 test]$ gsql "sslmode=require host=192.0.2.121 port=15000 user=jack dbname=postgres"
Password:
gsql ((openGauss 6.0.0-RC1 build ed7f8e37) compiled at 2024-03-31 11:59:31 commit 0 last mr )
SSL connection (cipher: ECDHE-RSA-AES128-GCM-SHA256, bits: 128)
Type "help" for help.

openGauss=>

【第七届openGauss技术文章征集】接入 SSL 认证配置:满足等保最佳实践-39

显示SSL connection (cipher: ECDHE-RSA-AES128-GCM-SHA256, bits: 128)
说明使用了SSL

结语:

本文介绍了在等保要求下为OpenGauss配置SSL客户端接入认证的过程。通过启用SSL、配置客户端接入认证规则以及验证SSL连接等步骤,可以确保OpenGauss数据库与客户端之间通信的安全性。在配置SSL时,请确保你使用的证书和私钥是有效的,并且与你的openGauss服务器和客户端兼容。同时,需要注意证书管理、权限控制、日志记录和备份恢复等方面的问题,注意保护你的SSL证书和私钥文件,以防止未经授权的访问和使用。如果你在生产环境中使用openGauss,请确保你遵循最佳的安全实践和标准来配置和管理你的SSL连接。以确保整个系统的安全性。

相关文章

Oracle如何使用授予和撤销权限的语法和示例
Awesome Project: 探索 MatrixOrigin 云原生分布式数据库
下载丨66页PDF,云和恩墨技术通讯(2024年7月刊)
社区版oceanbase安装
Oracle 导出CSV工具-sqluldr2
ETL数据集成丨快速将MySQL数据迁移至Doris数据库

发布评论