GaussDB-证书使用指南

GaussDB-证书使用指南

1. 使用证书时需配置cm_server参数为on（默认关闭）。

    

   cm_ctl set --param --server -k enable_ssl="on"

    

    

2. 证书文件需要存在于所有节点的$$GAUSSHOME/share/sslcert/cm中，证书替换后重启数据库实例生效。

    

   所需证书文件：server.crt、server.key、client.crt、client.key、cacert.pem、server.key.cipher、server.key.rand、client.key.cipher、client.key.rand

   根证书、密钥、证书以及密钥密码加密文件的权限，需保证权限为400。如果权限不满足要求，则无法使用ssl。

   chmod 400 cacert.pem
   chmod 400 server.crt
   chmod 400 server.key
   chmod 400 server.key.cipher
   chmod 400 server.key.rand
   chmod 400 client.crt
   chmod 400 client.key
   chmod 400 client.key.cipher
   chmod 400 client.key.rand

    

    

3. 证书有效期的检测周期为1天，可通过ssl_cert_expire_check_interval设置。证书有效期剩余90天时会开始产生告警，可通过ssl_cert_expire_alert_threshold设置（配置参数详见ssl_cert_expire_alert_threshold)。
4. 客户端和服务端的证书吊销列表分别为client.crl、server.crl。

 

更多详情请参考GaussDB 文档中心：https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/productdesc/qlh_03_0001.html