连接数据库(以SSL方式)
用户通过JDBC连接openGauss服务器时,可以通过开启SSL加密客户端和服务器之间的通讯,为敏感数据在Internet上的传输提供了一种安全保障手段。本小节主要介绍应用程序通过JDBC如何采用SSL的方式连接openGauss。在使用本小节所描述的方法前,默认用户已经获取了服务端和客户端所需要的证书和私钥文件,关于证书等文件的获取请参考Openssl相关文档和命令 。
服务端配置
当开启SSL模式后,必须提供根证书、服务器证书和私钥。
配置步骤(假设用户的证书文件放在数据目录/gaussdb/data/datanode下,且采用默认文件名):
以操作系统用户omm登录数据库主节点。
生成并配置证书
生成SSL证书,具体请参见证书生成。将生成出的文件server.crt,server.key,cacert.pem拷贝到服务端数据目录下。
使用如下命令可以查询数据库节点的数据目录,instance列为数据目录。
gs_om -t status --detail
在Unix系统上,server.crt、server.key的权限设置必须禁止任何外部或组的访问,请执行如下命令实现这一点。
chmod 0600 server.key
开启SSL认证模式。
gs_guc set -D /gaussdb/data/datanode -c "ssl=on"
配置客户端接入认证参数,IP为所要连接的主机IP。
gs_guc reload -D /gaussdb/data/datanode -h "hostssl all all 127.0.0.1/32 cert"
gs_guc reload -D /gaussdb/data/datanode -h "hostssl all all IP/32 cert"
表示允许127.0.0.1/32网段的客户端以ssl认证方式连接到openGauss服务器。
须知:
如果服务端pg_hba.conf文件中METHOD配置为cert,则只有客户端使用证书(client.crt)中所设置的用户名(common name)才能够成功连接数据库。如果设置为md5或sha256则对连接数据库的用户没有限制。配置SSL认证相关的数字证书参数。
各命令后所附为设置成功的回显。
gs_guc set -D /gaussdb/data/datanode -c "ssl_cert_file='server.crt'"
gs_guc set: ssl_cert_file='server.crt'
gs_guc set -D /gaussdb/data/datanode -c "ssl_key_file='server.key'"
gs_guc set: ssl_key_file='server.key'
gs_guc set -D /gaussdb/data/datanode -c "ssl_ca_file='cacert.pem'"
gs_guc set: ssl_ca_file='cacert.pem'
重启数据库。
gs_om -t stop && gs_om -t start
生成并上传证书文件
客户端配置
配置步骤如下:
上传证书文件,将在服务端配置章节生成出的文件client.key.pk8,client.crt,cacert.pem放置在客户端。
示例
import java.sql.Connection;
import java.util.Properties;
import java.sql.DriverManager;
import java.sql.Statement;
import java.sql.ResultSet;
public class SSL{
public static void main(String[] args) {
Properties urlProps = new Properties();
String urls = "jdbc:postgresql://10.29.37.136:8000/postgres";
/**
* ================== 示例1 使用NonValidatingFactory通道,pg_hba.conf文件中MTETHOD不为cert
*/
/*
urlProps.setProperty("sslfactory","org.postgresql.ssl.NonValidatingFactory");
urlProps.setProperty("user", "world");
//此处的test@123为创建用户CRETAE USER world WITH PASSWORD 'test123@'时指定的密码
urlProps.setProperty("password", "test@123");
urlProps.setProperty("ssl", "true");
*/
/**
* ================== 示例2 - 5 使用证书,pg_hba.conf文件中MTETHOD为cert
*/
urlProps.setProperty("sslcert", "client.crt");
// DER格式的客户端秘钥
urlProps.setProperty("sslkey", "client.key.pk8");
urlProps.setProperty("sslrootcert", "cacert.pem");
urlProps.setProperty("user", "world");
/* ================== 示例2 设置ssl为true,使用证书认证 */
urlProps.setProperty("ssl", "true");
/* ================== 示例3 设置sslmode为require,使用证书 */
// urlProps.setProperty("sslmode", "require");
/* ================== 示例4 设置sslmode为verify-ca,使用证书 */
// urlProps.setProperty("sslmode", "verify-ca");
/* ================== 示例5 设置sslmode为verify-full,使用证书(Linux下验证) */
// urls = "jdbc:postgresql://world:8000/postgres";
// urlProps.setProperty("sslmode", "verify-full");
try {
Class.forName("org.postgresql.Driver").newInstance();
} catch (Exception e) {
e.printStackTrace();
}
try {
Connection conn;
conn = DriverManager.getConnection(urls,urlProps);
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}