金仓数据库KingbaseES安全指南--6.6. SSL客户端证书认证

最新推荐文章于 2024-03-21 08:41:28 发布
最新推荐文章于 2024-03-21 08:41:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: KingbaseES产品手册 文章标签: ssl 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthemis_14/article/details/126052101
版权

目录

6.6.1. 关于SSL客户端证书认证

6.6.2. SSL客户端证书认证的工作原理

6.6.3. 配置SSL客户端证书身份验证

6.6.4. 通过SSL客户端证书身份验证连接Kingbase

6.6.1. 关于SSL客户端证书认证

传输层安全ssl协议可以KingbaseES数据库的强身份验证相结合。这种认证方法使用证书验证方法, 即SSL客户端证书执行认证。因此,它只适用于 SSL 连接。

6.6.2. SSL客户端证书认证的工作原理

当使用SSL客户端证书认证方式时,服务器将要求客户端提供一个有效的、可信的证书。不会有密码提示将被发送到客户端。证书的cn(通用名)属性将与被请求的数据库用户名进行比较,并且如果匹配将允许登录。用户名映射可以被用来允许cn与数据库用户名不同。

下列被支持的配置选项用于 SSL 客户端证书认证 :

map 允许在系统和数据库用户名之间的映射。详见 用户名映射 。

在一条指定SSL客户端证书认证 的sys_hba.conf记录中,认证选项 clientcert被假定为verify-ca 或 verify-full,并且它不能被关掉, 因为这种方法中一个客户端证书是必需的。cert方法对基本clientcert证书验证测试所增加的东西是检查cn属性是否匹配数据库用户名。

6.6.3. 配置SSL客户端证书身份验证

6.6.3.1. 证书制作

  1. 查看openssl 版本

假设以及安装完成openssl环境: .. code:

#/pkg/8.0.0025/db/bin/ca$ openssl verison
openssl: /home/test/pkg/8.0.0025/db/lib/libssl.so.1.0.0: version `OPENSSL_1.0.2' not found (required by openssl)
openssl: /home/test/pkg/8.0.0025/db/lib/libcrypto.so.1.0.0: version `OPENSSL_1.0.2' not found (required by openssl)
openssl: /home/test/pkg/8.0.0025/db/lib/libcrypto.so.1.0.0: version `OPENSSL_1.0.2g' not found (required by openssl)

出现上述缺少链接库问题,是因为LD_LIBRARY_PATH用的是数据库的lib,置空后正常,
#/pkg/8.0.0025/db/bin/ca$ export LD_LIBRARY_PATH=
#/pkg/8.0.0025/db/bin/ca$ openssl version
OpenSSL 1.0.2g  1 Mar 2016

  1. CA证书制作:

#/pkg/8.0.0025/db/bin/ca$ openssl req -newkey rsa:2048 -keyout ca.key -keyform PEM -out ca.csr -outform PEM
Generating a 2048 bit RSA private key
...............................................................................................................................................+++
...+++
writing new private key to 'ca.key'
Enter PEM pass phrase:123456
Verifying - Enter PEM pass phrase: 123456
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:CA
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#/pkg/8.0.0025/db/bin/ca$ openssl x509 -req -in ca.csr -out ca.crt -signkey ca.key -days 3650
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=CA
Getting Private key
Enter pass phrase for ca.key:123456

  1. Root证书制作:

#/pkg/8.0.0025/db/bin/ca$ openssl req -newkey rsa:2048 -keyout root.key -keyform PEM -out root.csr -outform PEM
Generating a 2048 bit RSA private key
..................+++
............+++
writing new private key to 'root.key'
Enter PEM pass phrase:123456
Verifying - Enter PEM pass phrase:123456
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:ROOT
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

#/pkg/8.0.0025/db/bin/ca$ openssl x509 -req -in root.csr -out root.crt -signkey root.key -days 3650
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=ROOT
Getting Private key
Enter pass phrase for root.key:123456

  1. 生成服务器证书:

#/pkg/8.0.0025/db/bin/ca$ openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
...........................................++++++
.++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:123456
Verifying - Enter pass phrase for server.key:123456

#/pkg/8.0.0025/db/bin/ca$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:123456
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:SERVER
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

拷贝openssl配置文件到当前目录:

.code:

#cp /etc/ssl/openssl.cnf ./
#/pkg/8.0.0025/db/bin/ca$ openssl x509 -sha1 -req -in server.csr -CA root.crt -CAkey root.key -CAcreateserial -out server.crt -outform PEM -days 3650 -passin pass:123456 -extfile ./openssl.cnf -extensions v3_req
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=SERVER
Getting CA Private Key

  1. 生成用户usystem证书:

#/pkg/8.0.0025/db/bin/ca$ openssl genrsa -des3 -out usystem.key 1024
Generating RSA private key, 1024 bit long modulus
...................................................++++++
..........++++++
e is 65537 (0x10001)
Enter pass phrase for usystem.key:123456
Verifying - Enter pass phrase for usystem.key:123456

#/pkg/8.0.0025/db/bin/ca$ openssl req -new -key usystem.key -out usystem.csr
Enter pass phrase for usystem.key:123456
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:SYSTEM
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#/pkg/8.0.0025/db/bin/ca$ openssl x509 -sha1 -req -in usystem.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out usystem.crt -outform PEM -days 3650 -passin pass:123456 -extfile ./openssl.cnf -extensions v3_req
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=SYSTEM
Getting CA Private Key

  1. 生成kingbase证书:

#/pkg/8.0.0025/db/bin/ca$ openssl genrsa -des3 -out kingbase.key 1024
Generating RSA private key, 1024 bit long modulus
......................................................................++++++
...++++++
e is 65537 (0x10001)
Enter pass phrase for kingbase.key:123456
Verifying - Enter pass phrase for kingbase.key: 123456
#/pkg/8.0.0025/db/bin/ca$ openssl req -new -key kingbase.key -out kingbase.csr
Enter pass phrase for kingbase.key:123456
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:KINGBASE
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#/pkg/8.0.0025/db/bin/ca$ openssl x509 -sha1 -req -in kingbase.csr -CA root.crt -CAkey root.key -CAcreateserial -out kingbase.crt -outform PEM -days 3650 -passin pass:123456 -extfile ./openssl.cnf -extensions v3_req
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=KINGBASE
Getting CA Private Key

  1. 生成userver证书:

#/pkg/8.0.0025/db/bin/ca$ openssl genrsa -des3 -out userver.key 1024
Generating RSA private key, 1024 bit long modulus
.........................++++++
......++++++
e is 65537 (0x10001)
Enter pass phrase for userver.key:123456
Verifying - Enter pass phrase for userver.key:123456
#/pkg/8.0.0025/db/bin/ca$ openssl req -new -key userver.key -out userver.csr
Enter pass phrase for userver.key:123456
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:KB
Organizational Unit Name (eg, section) []:KB
Common Name (e.g. server FQDN or YOUR name) []:SERVER
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#/pkg/8.0.0025/db/bin/ca$ openssl x509 -sha1 -req -in userver.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out userver.crt -outform PEM -days 3650 -passin pass:123456 -extfile ./openssl.cnf -extensions v3_req
Signature ok
subject=/C=CN/ST=BJ/L=BJ/O=KB/OU=KB/CN=SERVER
Getting CA Private Key

6.6.3.2. 配置KingbaseES服务器

  1. 环境准备:

  1. 在kingbase.conf中增加 ssl=on;

  2. 在sys_hba.conf中,host修改为 hostssl,MD5修改为ukpwd ;

  3. 把 所有的 crt和key 文件权限改为 600;

  4. 把 ca.crt、root.crt、server.crt、userver.crt、server.key、userver.key 放到 数据库目录下;

  5. 把 ca.crt、root.crt、kingbase.crt、usyssao.crt、usyssso.crt、usystem.crt 、kingbase.key、usyssao.key、usyssso.key、usystem.key 放到bin目录下;

  1. 启动数据库:

# ./kingbase -D ca_data/

启动日志打印如下:
LOG:  转存许可证信息...
LOG:  许可证版本:2.0
LOG:  产品线:ES
LOG:  产品版本:8.0.0
LOG:  版本类型:ME
LOG:  操作系统:LNX
LOG:  体系结构:X64
LOG:  浮动日期模式:是
LOG:  基准日期:2021-09-26
LOG:  许可证有效时间:180天
LOG:  最大连接数:无限制
LOG:  用户信息:V8
LOG:  试用模式:否
LOG:  网卡物理地址检查模式:否
LOG:  网卡物理地址:
LOG:  IPV4地址检查模式:否
LOG:  IPV4地址:
LOG:  序列号:1e763e91-cb914c9a-dfe158e5-f462527b
sh: /home/test/pkg/8.0.0025/db/lib/libtinfo.so.5: no version information available (required by sh)
please enter the server key password:123456
LOG:  SSL 的证书吊销列表文件"/home/test/pkg/8.0.0025/db/bin/ca_data/root.crl"未找到,忽略:没有那个文件或目录
DETAIL:  证书将不予核对吊销列表
LOG:  the encrypt device is opened
LOG:  数据库系统已关闭在 2021-09-27 16:39:46 CST
LOG:  checkpoint record is at 1/1DB9050
LOG:  redo record is at 1/1DB9050; undo record is at 0/0; shutdown TRUE
LOG:  下一个事务ID: 0/269; 下一个OID: 31827
LOG:  下一个 MultiXactId: 1; 下一个 MultiXactOffset: 0
LOG:  数据库系统准备接受连接

注意

上面缺失root.crl警告信息不影响功能正常使用。

6.6.4. 通过SSL客户端证书身份验证连接Kingbase

通过ksql连接数据库,指定相关证书参数:-b kingbase用户证书,-r root用户证书,-k kingbase用户的key -g 指定的是用户证书,-G 指定对应的key

例如,下面这个例子:

#./isql -p19940 -USYSTEM  -d TEST -b ./kingbase.crt -r ./root.crt -k ./kingbase.key -g usystem.crt -G usystem.key -p19970
用户密码 SYSTEM:123456
Enter the password of client key:123456
please input the usb token pin:123456

本次登录信息:
            用户名: SYSTEM
            主机: [local]
            登录时间: 2021-09-27 16:42:57.052739+08

这是你第一次登录.

本次登录和最后一次登录之间的失败次数: 0

密码的过期时间没有设置.

类型:  \h SQL帮助命令
       \? isql帮助命令
       \g 将之前的SQL语句发往服务器执行
       \q 退出

TEST=#

例如,异常连接测试(用户密码错误):

#./isql -p19940 -USYSTEM  -d TEST -b ./kingbase.crt -r ./root.crt -k ./kingbase.key -g usystem.crt -G usystem.key -p19970
用户密码 SYSTEM:123
Enter the password of client key:123456
please input the usb token pin:123456
ksql: FATAL:  用户"SYSTEM"的口令认证失败

例如,异常连接测试(pin码错误):

# ./isql -p19940 -USYSTEM  -d TEST -b ./kingbase.crt -r ./root.crt -k ./kingbase.key -g usystem.crt -G usystem.key -p19970
用户密码 SYSTEM:123456
Enter the password of client key:123456
please input the usb token pin:1234
ksql: could not read usbkey key file, maybe wrong pin code
沉舟侧畔千帆过_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kingbaseES R3 集群配置 SSL
lyu1026的博客
04-21 1225
​案例说明: 本测试是在非生产环境下,在官方没有明确声明支持KingbaseCluster使用ssl的前提下,建议只能在测试环境使用,避免生产环境下直接使用。 数据库版本: TEST=# select version(); version -------------------------...
kingbase SSL证书
04-15
kingbase SSL证书
Kingbase设置SSL登录
kingstone96888的博客
09-04 259
服务器确保安装openssl在data目录下,创建自签名的证书配置kingbase.conf文件配置sys_hba.conf文件重启数据库服务器客户端证书
ES集群不识别节点SSL证书的问题处理
最新发布
大数据,Linux,服务器,技术、架构,方案
03-21 738
观察上述两个过程,启动前certs目录是没有的,启动后自动生成了证书,并且配置自动修改好,显然这个证书就是本地可用的。所以,绕了一圈SSL证书仅需要在本地生成,踩这个坑主要是由于ES 8.x版本将证书生成进行了自动化(对用户透明了),所以忽略了这一点。这个举措本身是简化用户操作的,因此,建议使用指定token的方式组建集群,不要手动配置证书了。另外,每个ES节点配置中的发现信息()随着加入集群的顺序而改变,后加入的节点会自动添加前面已在集群内的节点信息,但是手动启动的不会自己变更。
KingbaseES SSL加密通信
arthemis_14的博客
11-09 2465
KingbaseES数据库中,如何设置SSL加密通信?
kingbase配置SSL双向认证
Du.的博客
02-02 1310
SSL属于传输加密,在服务器端和客户端建立加密通信渠道来保证数据安全,防止数据在网络传输过程中被篡改和拦截。SSL加密可以使用第三方证书机构颁发的数字证书,也可以使用自签名证书。这里我们使用自签名证书
人大金仓 KingbaseES V8驱动 kingbase8-8.2.0.jar
11-15
kingbase8-8.2.0.jar
人大金仓数据库 KingbaseES SQL和PLSQL速查手册.pdf
10-21
本资源是人大金仓国产数据库 KingbaseES SQL和PLSQL速查手册,手册包含了,人大金仓数据库的,概述,特性,SQL语法,数据定义,数据操纵,查询,数据类型,伪列,函数操作符,类型转换,索引,视图,全文搜索等内容...
国产数据库人大金仓 MVEN 依赖 kingbase8-8.2.0.jar
10-23
本资源是国产数据库人大金仓Kingbase8 的依赖文件kingbase8-8.2.0.jar 要是用国产化数据库,这个文件可是必须哦!你不收藏,你连mven都搞不到。本地maven 依赖操作mvn install:install-file -Dfile=G:\kingbase8-...
金仓数据库KingbaseES安全指南--5.1. 数据库的传输安全
arthemis_14的博客
07-27 926
金仓数据库KingbaseES安全指南--5.1. 数据库的传输安全
人大金仓KingbaseES sslinfo 插件
arthemis_14的博客
01-05 361
KingbaseES数据库可将以下内容添加到 kingbase.conf 文件的 shared_preload_libraries 中,重启数据库时自动加载。KingbaseES对使用SSL 连接加密客户端/服务器通讯的本地支持,可以增加数据传输安全性。如果“ssl = true”,那么这么客户端已经使用ssl连接数据库。本文展示配置ssl连接,并通过安装一个插件验证ssl加密认证使用。注意连接时候需要加上-h参数,否则不以ssl方式连接。KingbaseES 数据库配置单向SSL认证连接。
KingbaseES客户端认证方式
arthemis_14的博客
10-22 964
客户端认证数据库服务器建立客户端身份的过程,服务器将确定是否允许客户端应用程序(或运行客户端应用程序的用户)与所请求的数据库用户名连接。
KingbaseES License信息手册(2. License简介)
arthemis_14的博客
07-14 739
License,即版权许可证,一般指供应商(收费软件)给客户(付费用户)提供的访问许可证明。是供应商与客户之间对所销售/购买软件版本的使用范围、期限等进行授权/被授权的一种合约形式。通过License,客户获得供应商所承诺的相应服务。物理形式表现为License授权证书和License文件。用户购买软件后,可以使用软件的基本功能。当用户因业务拓展,需要使用增值特性或者对软件资源进行扩容时,可以购买软件对应功能或资源的License,以满足业务的需求。通过License的控制,可以有效降低用户的成本。用户根据
金仓数据库配置SSL加密
qq_44906157的博客
09-20 408
KingbaseES SSL加密配置
SuperMap iDesktop 8C使用KingbaseES数据库
SuperMap技术控
06-24 4702
作者:皇皇以KingbaseES数据库7.1.2.0646版本(以下简称:金昌数据库)为例,在SuperMap iDesktop 8C(以下简称:桌面)中创建金昌数据源,以下为操作步骤:一、安装金昌数据库数据库下载:金昌数据库:官网下载http://www.kingbase.com.cn/kingbase/newslist/list-186-1.html
人大金仓数据库KingbaseES 证书登录
arthemis_14的博客
11-17 334
证书登录是一种基于数字证书的身份验证方法,使用PKI来实现安全的身份验证和数据传输,提供了比传统的用户名和密码更高的安全性。数字证书是一种用于加密通信、验证身份以及确保数据完整性的安全技术,它是由数字证书颁发机构(Certificate Authority, CA)签发的一种数字文件,包含了一些关键信息,如证书持有人秘钥、证书的有效期、颁发机构信息等。数字证书通过在网络通信中进行交换和验证,帮助确保通信的安全性和可信度。
金仓数据库KingbaseES数据库管理员指南--15.2. 管理序列
arthemis_14的博客
07-20 1233
金仓数据库KingbaseES数据库管理员指南--15.2. 管理序列
人大金仓ssl强制认证
08-23
人大金仓提供了SSL强制认证的功能。如果参数sslmode被设置为verify-full,libkci 将会验证服务器证书的合法性,并且还要验证服务器主机名是否匹配证书。如果服务器证书无法通过验证,SSL连接将失败。而在客户端方面,需要提供受信任的证书,并将其放置在数据目录文件中。然后修改KingbaseES.conf中的参数ssl_ca_file到新的文件名,并在sys_hba.conf文件中适当的hostssl行上添加认证选项clientcert=1。在SSL连接启动时,客户端会向服务器请求该证书,并且服务器会验证该证书是否由受信任的证书颁发机构签名。如果希望避免将中间证书显示在ssl_ca_file文件中,也可以将其显示在该文件中。此外,如果参数ssl_crl_file被设置,还会检查证书撤销列表(CRL)项。因此,在安全敏感的环境中,建议使用SSL强制认证。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [金仓数据库KingbaseES安全指南--5.1. 数据库的传输安全](https://blog.csdn.net/arthemis_14/article/details/126021012)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值