达梦数据库配置SSL通信加密

最新推荐文章于 2024-04-25 14:30:35 发布
最新推荐文章于 2024-04-25 14:30:35 发布
阅读量5.2k 收藏 14
点赞数 5
分类专栏: 达梦数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxiaozhenjay/article/details/101460239
版权

1、安装 openssl-win32.exe

解压 windwosOpenssl_32and64.zip 文件,双击.exe 文件进行安装,请将安装目录维持默认(即 C:\OpenSSL);安装完成以后,增加系统环境变量环境变量“OPENSSL_CONF”值为“C:\OpenSSL\bin\openssl.cfg”。并将“C:\OpenSSL\bin\”加到 path 环境变量中。

注:请安装32位的openssl软件。软件下载地址:http://slproweb.com/products/Win32OpenSSL.html

2、安装JDK和keytool.exe

确保机器上已经安装了JDK,并将 JDK 下的 keytool.exe 所在的文件路径加到 path 环境变量中。如果你的机器上没有安装 JDK,但是安装了达梦客户端,比如安装在D盘,则在“D:\dmdbms\jdk\bin”中有 keytool.exe 工具,那么你可以将“D:\dmdbms\jdk\bin”加到 path 环境变量中。

3、配置openssl.cfg文件

用记事本打开C:\OpenSSL\bin\路径下的openssl.cfg 文件,然后在[ CA_default ]一节修改如下的配置项:

[ CA_default ]
dir  = ./ca                   # Where everything is kept 
certs = $dir/certs             # Where the issued certs are kept
crl_dir  = $dir/crl            # Where the issued crl are kept
database = $dir/index.txt     # database index file. 
#unique_subject = no        # Set to 'no' to allow creation of
#several ctificates with same subject.
new_certs_dir  = $dir/newcerts  # default place for new certs.
certificate = ca-cert.pem        #The CA certificate 
serial = $dir/serial             # The current serial number
crlnumber = $dir/crlnumber    # the current crl number
#must be commented out to leave a V1 CRL
crl  = $dir/crl.pem              # The current CRL
private_key  = ca-key.pem      # The private ke
RANDFILE = $dir/private/.rand   # private random number file

4、生成CA私钥和自签名证书

运行cmd.exe,切换到 C:\OpenSSL\bin 目录下,执行以下的脚本:

set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg
echo %OPENSSL_CONF%
rd /s /q ca
mkdir .\ca
mkdir .\ca\newcerts
mkdir .\ca\private
copy nul ca\index.txt
set /p="01"<nul>>ca\serial
mkdir server_ssl
mkdir client_ssl
#echo 生成 ca 私钥(ca-key.pem)和 ca 自签名证书(ca-cert.pem),需输入 ca 私钥存储密码
openssl  req  -new  -x509  -days  3650  -keyout  ca-key.pem  -out  ca-cert.pem  -subj "/C=cn/ST=hubei/L=wuhan/O=dameng/OU=tech/CN=tech/emailAddress=tech@test.com"

注:最后一条命令执行过程会要求用户输入长度大于等于 4 字符的 ca 私钥存储密码。本例设置的密码是123456。生成的ca私钥是ca-key.pem,自签名证书是:ca-cert.pem,都位于C:\OpenSSL\bin目录下面。

5、生成server端私钥和被ca签名的server数字证书

在上述命令行程序中继续执行下述语句:

set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg
echo %OPENSSL_CONF%
#生成server私钥 server-key.pem(无密码)
openssl genrsa -out server-key.pem 2048
#生成server证书请求server.csr
openssl  req  -new  -key  server-key.pem  -out  server.csr  -subj "/C=cn/ST=hubei/L=wuhan/O=dameng/OU=tech/CN=server/emailAddress=server@demeng.com"
#生成 server经ca签名的证书server-cert.pem
openssl ca -startdate 20190821235959-0700 -enddate 20290821235959-0700 -in server.csr -out server-cert.pem
#将server可信证书转换为格式X509格式
openssl x509 -in server-cert.pem -out server.cer
copy ca-cert.pem server_ssl\
copy ca-key.pem server_ssl\
copy server.csr server_ssl\
copy server.cer server_ssl\
copy server-cert.pem server_ssl\
copy server-key.pem server_ssl\

注:执行过程中,当要求输入 ca-key.pem 的存储私钥时,请输入前面设置的“123456”。

6、生成用户私钥和被ca签名的用户数字证书

此处的用户名为 SYSDBA,若是其他用户名只需全局替换用户名即可。在上述命令行程序中继续执行下述语句:

set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg
echo %OPENSSL_CONF%
mkdir .\SYSDBA
#生成SYSDBA 私钥 client-key.pem
openssl genrsa -out SYSDBA/client-key.pem 2048
#生成SYSDBA证书请求client.csr
openssl  req  -new  -key  SYSDBA/client-key.pem  -out  SYSDBA/client.csr  -subj "/C=cn/ST=hubei/L=wuhan/O=dameng/OU=tech/CN=SYSDBA/emailAddress=SYSDBA@dameng.com"
#生成SYSDBA经ca签名证书client-cert.pem
openssl ca -startdate 20190821235959-0700 -enddate 20290821235959-0700 -in SYSDBA/client.csr  -out  SYSDBA/client-cert.pem
​
#将X509格式的 client-key.pem 和 client-cert.pem 合并转换为 pkcs12 格式的文件client-pkcs.p12
#务必输入export password为 changeit(小写)
openssl  pkcs12  -export  -inkey  SYSDBA/client-key.pem  -in  SYSDBA/client-cert.pem  -out SYSDBA/client-pkcs.p12
keytool -import -alias ca -trustcacerts -file ca-cert.pem -keystore SYSDBA/.keystore -deststorepass changeit  -noprompt
keytool -import -alias server -trustcacerts -file server.cer -keystore SYSDBA/.keystore -deststorepass changeit  -noprompt
keytool  -v  -importkeystore  -srckeystore  SYSDBA/client-pkcs.p12  -srcstoretype  PKCS12  -keystore  SYSDBA/.keystore -deststorepass changeit
copy ca-cert.pem SYSDBA\
move SYSDBA client_ssl\

注:执行过程中,当要求输入 ca-key.pem 的存储私钥时,请输入“123456”,当要求输入 pkcs.p12 的 export password 时,请务必输入小写的“changeit”。
若需生成多个用户则全局替换用户名之后,再次执行,一个用户名只能执行一次,执行两次或以上会出现错误;最后将目录下的server_ssl和client_ssl文件夹都拷贝到dmdbms\bin\目录下即可使用。

7、开启通信加密

修改dm.ini将ENABLE_ENCRYPT的值改为1。

8、使用ssl加密方式登陆数据库

8.1disql工具

需要将新生成的加密client_ssl替换系统自带的client_ssl。切换到dmdbms/bin目录:
./disql SYSDBA/SYSDBA#/dm/dmdbms/bin/client_ssl/SYSDBA/@changeit

8.2 使用客户端manager工具

在这里插入图片描述

dmdba1
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
达梦数据库配置SSL认证加密
sgeblis2的博客
05-19 2789
环境介绍 OS Version:Kylin Linux Advanced Server release V10 (SP1) /(Tercel)-x86_64-Build19/20210319 DB Version:DM V8 1-2-18-21.06.24-142387-10013-ENT Pack4 OpenSSL:OpenSSL 1.1.1f JAVA:openjdk version “1.8.0_242” 64bit 参考手册:《DM8_DISQL使用手册》《DM8安全管理》《DM8程序员手
Windows下用SSL实现加密通讯Demo
06-20
Windows下用SSL实现加密通讯Demo。内含win32 realease版本的openssl-1.1.0f静态库,及用其生成的加密数字证书文件。可参见:http://blog.csdn.net/ljttianqin/article/details/73498453
达梦(DM)数据库存储加密
最新发布
csdn565973850的博客
04-25 2634
讲述DM数据库存储加密中较容易理解的非透明加密
达梦数据配置SSL证书
qq_44426007的博客
11-28 1039
达梦数据库SSL认证配置
达梦数据库配置SSL测试
m992705800的博客
02-02 344
达梦开启SSL
tp5(ThinkPHP 5.1)连接达梦数据库源码
12-23
在使用TP5连接达梦数据库时,确保PHPStudy中的PHP版本与ThinkPHP 5.1兼容,并正确配置了PHP扩展,例如PDO_Dm或Dm驱动,以便能够与达梦数据库通信。 总结来说,通过ThinkPHP 5.1框架,开发者可以方便地连接并操作...
达梦6安装包下载 DM6.zip
04-01
达梦6支持多种安全机制,如用户权限管理、角色授权、审计日志、SSL加密通信等,确保数据的安全性。 6. **性能优化**: 达梦6在查询性能上做了大量优化,如支持并行处理、多线程、缓存技术等,能够有效提高大数据...
shell可配置脚本备份国产达梦数据库异常mail465发邮件.rar
05-12
465端口通常用于SSL加密的SMTP通信,这可以确保邮件传输的安全性。脚本会配置SMTP服务器的相关信息,包括服务器地址、端口、用户名、密码,以及收件人的电子邮件地址。当备份过程中发生异常,例如备份失败或备份文件...
达梦6的JDBC连接驱动
01-03
**达梦数据库与JDBC连接驱动详解** 达梦数据库(Dameng Database)是中国自主研发的一款高性能、高可用性的关系型数据库...正确地配置和使用JDBC驱动,可以确保数据的准确传输,同时充分利用达梦数据库的特性和优势。
DM8如何开启SSL通信加密
qq_32144799的博客
03-21 481
通讯加密开启
达梦数据库linux安装方法简化版
adminyang1的博客
02-18 1175
达梦数据库快速搭建
dm达梦数据库 报错[-70070]初始化SSL环境失败
Focus on PostgreSQL
06-30 7547
今天在dm中新建了一个用户,但是使用这个用户去连接数据库时出现下面的报错: 查阅资料得知,因为在dm安全版中默认开启了SSL加密,所以需要关闭: SQL> sp_set_para_value(2,'ENABLE_ENCRYPT',0); 执行完之后需要重启数据库才能生效。 ...
达梦:初始化SSL环境失败
Penrosee的博客
03-01 4046
中间件连接达梦数据库报“dm jdbc.driver.DMException:初始化SSL环境失败”,排查思路整理好了,请查收~
DM 安全管理学习
qq_36749671的博客
06-09 1405
DM 安全管理学习
达梦数据库加密
chenlinlong的博客
01-07 4085
达梦数据库使用ssl通信加密,需要在达梦数据库服务端配置ENABLE_ENCRYPT 和 COMM_ENCRYPT_NAME 参数来指定,客户端以服务端采用的通信方式与其进行通信达梦数据库支持的加密算法可以通过V$CIPHERS动态视图获取 达梦数据库使用ssl通信加密,需要在达梦数据库服务端配置ENABLE_ENCRYPT 和 COMM_ENCRYPT_NAME 参数来指定,客户端以服务端采用的通信方式与其进行通信达梦数据库支持的加密算法可以通过V$CIPHERS动态视图获取,如下所示。 SQL&.
达梦数据源配置_达梦DM8 数据库 DEM(Dameng Enterprise Manager) 安装配置
weixin_39763640的博客
12-19 733
一,DEM介绍DEM全称为Dameng Enterprise Manager。DEM提供了达梦数据库对象管理和数据库监控的功能。https://www.cndba.cn/flynt/article/4241看名字DEM是跟oracle公司的Enterprise Manager管理器差不多的,但是Oracle公司的EM是单独的安装介质,达梦的EM是数据库软件里面自带的,那么我们就安装体验一下达梦的E...
达梦数据库配置信息
lierjun 的专栏
03-24 4524
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"> <property name="driverClassName" value="dm.jdbc.driver.DmDriver"> </property> <pr...
mariadb开启ssl
11-30
以下是在Mariadb中开启SSL的步骤: 1. 确保你的Mariadb版本支持SSL。可以通过以下命令检查: ```shell mysql --ssl --help ``` 2. 确保你的Mariadb服务器上已经生成了SSL证书和密钥。如果没有,请使用以下命令生成: ```shell openssl req -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem -out server-req.pem openssl rsa -in server-key.pem -out server-key.pem openssl x509 -req -in server-req.pem -days 3650 -signkey server-key.pem -out server-cert.pem ``` 3. 将证书和密钥文件复制到Mariadb服务器上,并将其放置在安全的目录中。例如,将证书和密钥文件复制到`/usr/local/mariadb/ssl/`目录下。 4. 修改Mariadb配置文件`my.cnf`,添加以下内容: ```shell [mysqld] ssl-ca=/usr/local/mariadb/ssl/server-cert.pem ssl-cert=/usr/local/mariadb/ssl/server-cert.pem ssl-key=/usr/local/mariadb/ssl/server-key.pem ``` 5. 重启Mariadb服务器以使更改生效。 ```shell systemctl restart mariadb ``` 6. 确认SSL已经启用。可以使用以下命令连接到Mariadb服务器并检查SSL状态: ```shell mysql -u root -p --ssl-mode=REQUIRED ``` 如果成功连接到Mariadb服务器,则表示SSL已经启用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值