人大金仓(kes)ssl认证传输加密

已于 2023-12-13 09:42:32 修改
阅读量346 收藏
点赞数
文章标签: ssl excel 网络协议 数据库
于 2023-12-13 09:42:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55327195/article/details/134964090
版权

服务器:
1.确保安装openssl
创建目录存放认证mm,位置mkdir -p /root/mm
2.在data目录下,创建自签名的证书
  为服务器创建一个快速的自签名的证书,填充那些openssl要求的信息。确保把本地主机名当做"Common Name"输入;挑战密码可以留空。 该程序将生成一个用口令保护的密钥,它不会接受小于四字符的口令。
  openssl req -new -text -out server.req -days 3650
密码:ASDFGhjkl!@#$%^7890         ###自定义,两次,之后确定往下
A challenge password []:ASDFGhjkl!@#$%^7890      ##再输入一次
  要移去密钥(如果你想自动启动服务器就必须这样),运行下面的命令:
  openssl rsa -in privkey.pem -out server.key
密码:ASDFGhjkl!@#$%^7890
  rm privkey.pem
  将一个证书变成自签名的证书并复制密钥和证书到服务器将要查找它们的地方
  openssl req -X509 -in server.req -text -key server.key -out server.crt -days 3650
  【有的openssl的命令是 openssl req -x509 -in server.req -text -key server.key -out server.crt -days 3650】
#####警告忽略
  修改文件权限,如果文件的权限比这个更自由,服务器将拒绝该文件。
  chmod og-rwx server.key
  生成根证书
  cp server.crt root.crt
修改三个文件权限
chown kingbase. /root/mm/*
chmod 600 /root/mm/*

创建目录 mkdir -p /home/kingbase/.kingbase
6.为客户端创建所需证书
  生成kingbase8.key
cd /home/kingbase/.kingbase/
  openssl genrsa -des3 -out kingbase.key 1024
密码:ASDFGhjkl!@#$%^7890
  openssl rsa -in kingbase.key -out kingbase.key
密码:ASDFGhjkl!@#$%^7890
  chmod 400 kingbase.key
  生成kingbase8.csr,CN需要指定为要连接数据库的用户名(需要免密登录的话必须指定正确,不需要的话并不强制确定)
  openssl req -new -key kingbase.key -out kingbase.csr -subj '/C=GB/ST=Berkshire/L=Newbury/O=Kingbase/CN=system' 
  生成kingbase8.crt
cp /root/mm/root.crt /home/kingbase/.kingbase/
cp /root/mm/server.key /home/kingbase/.kingbase/
  openssl X509 -sha1 -req -in kingbase.csr -CA root.crt -CAkey server.key -out kingbase.crt -CAcreateserial -days 3650
 【有的openssl命令是小写的x例: openssl x509 -sha1 -req -in kingbase.csr -CA root.crt -CAkey server.key -out kingbase.crt -CAcreateserial -days 3650 】
  生成kingbase8.pk8
修改权限
chown kingbase. /home/kingbase/.kingbase/*      
chmod 0600 /home/kingbase/.kingbase/*
7.客户端的证书需要放到机器用户的家目录/.kingbase的目录里把kingbase.key,kingbase.crt,root.crt放入到.kingbase目录,并设置权限为0600。

  把server.key,server.crt,root.crt放入到data目录中,并设置权限为0600。
cd /root/mm
cp server.crt /data/dbdata/data/data/
chown kingbase. /data/dbdata/data/data/server.crt
cd /home/kingbase/.kingbase
cp server.key root.crt /data/dbdata/data/data/ 
chown kingbase. /data/dbdata/data/data/server.key 
chown kingbase. /data/dbdata/data/data/root.crt 

###mm目录中也有,找一下相对应文件

3.配置kingbase.conf文件
ssl = on                # (change requires restart)
#ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers
                    # (change requires restart)
#ssl_prefer_server_ciphers = on        # (change requires restart)
#ssl_ecdh_curve = 'prime256v1'        # (change requires restart)
#ssl_cert_file = 'server.crt'        # (change requires restart)
#ssl_key_file = 'server.key'        # (change requires restart)
ssl_ca_file = 'root.crt'            # (change requires restart)
#ssl_crl_file = ''            # (change requires restart)
4.配置sys_hba.conf文件(如果前面有相同配置的ip地址,需注释掉,否则解析不到ssl认证方式)
hostssl    all             all             0.0.0.0/0               md5  clientcert=1
5.重启数据库服务器
  ksql连接时需要指定-h参数

  
需要用JDBC时SSL的配置如下
jdbc:
通过参数sslmode配置证书验证方式,该参数支持四个值:disable(禁用SSL)、require、verify-ca、verify-full。使用verify-ca和verify-full时,需通过连接参数sslrootcert指定根证书文件的位置,如不指定,Linux默认路径为$HOME/.kingbase8/root.crt,Windows默认路径为%APPDATA%\kingbase8\root.crt,将服务器data目录下的root.crt放到对应目录下即可。
通过参数sslcert配置客户端证书位置,如不指定,Linux默认路径为$HOME/.kingbase8/kingbase8.crt,Windows默认路径为%APPDATA%\kingbase8\kingbase8.crt,将服务器data目录下的kingbase8.crt放到对应目录下即可。
通过参数sslkey配置秘钥文件位置,如不指定,Linux默认路径为$HOME/.kingbase8/kingbase8.pk8,Windows默认路径为%APPDATA%\kingbase8\kingbase8.pk8,将服务器data目录下的kingbase8.pk8放到对应目录下即可。
举例:jdbc:kingbase8://192.168.222.128:54321/TEST?sslmode=verify-ca&sslrootcert=root.crt&sslcert=kingbase8.crt&sslkey=kingbase8.pk8

!!!!!单机例子(集群换相应串):jdbc:kingbase8://10.75.30.181:54321/test?sslmode=verify-ca&sslrootcert=C:\Users\Administrator\Desktop\中海油\dump_bak\root.crt&sslcert=C:\Users\Administrator\Desktop\中海油\dump_bak\kingbase8.crt&sslkey=C:\Users\Administrator\Desktop\中海油\dump_bak\kingbase.key

注:目录位置替换


!!!!!!可忽略:
SSL证书免密登录说明
1.首先准备一套适用于测试登录用户的证书,生成证书时CN值改为测试用户的用户名,证书生成方法见上
2.在家目录下创建一个.kingbase目录(例如:/home/kingbase/.kingbase)
3.把kingbase.key,kingbase.crt,root.crt放入到.kingbase目录,并设置权限为0600
4.把server.key,server.crt,root.crt放入到data目录中,并设置权限为0600
5.初始化数据库,设置conf文件里面,ssl参数值为on,ssl_ca_file参数设置为root.crt
6.设置hba文件
    6.1 增加hostssl项,注意前面如果有相同的ip限制或包含此ip的范围限制,需要注释掉相同项,否则会首先解析到上面的ip连接方式,并不会采用ssl方式认证连接。
    6.2 设置hostssl项的认证方式为cert
    6.3    连接的时候客户端需要指定-h选项即指定ip地址
例:hostssl all             all             127.0.0.1               cert

就去.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
人大金仓(Kingbase)数据库配置注意事项
LD_Coding的博客
07-27 1万+
使用规范 强烈建议表名和字段名统一使用小写或者大写,人大金仓数据库默认大小写敏感 创建函数和存储过程可以使用Oracle的语法创建,兼容Oracle语法。 避免使用关键字建表、建视图、函数等,关键参考 SQL关键词文档, GROUP BY 查询需要在SELECT 中指明字段,如不指明不能使用GROUP BY,可以使用DISTINCT ON 分页使用ROWNUM伪列来实现分页可参考Oracle语法 或者 使用limit进行分页也可以语法参考postgresql 支持序列,用法和ORACLE一样 不..
金仓数据库配置SSL加密
qq_44906157的博客
09-20 438
KingbaseES SSL加密配置
人大金仓数据库KingbaseES 证书登录
arthemis_14的博客
11-17 367
证书登录是一种基于数字证书的身份验证方法,使用PKI来实现安全的身份验证和数据传输,提供了比传统的用户名和密码更高的安全性。数字证书是一种用于加密通信、验证身份以及确保数据完整性的安全技术,它是由数字证书颁发机构(Certificate Authority, CA)签发的一种数字文件,包含了一些关键信息,如证书持有人秘钥、证书的有效期、颁发机构信息等。数字证书通过在网络通信中进行交换和验证,帮助确保通信的安全性和可信度。
金仓数据库KingbaseES 使用 SSL 进行安全的 TCP/IP 连接
arthemis_14的博客
05-17 1655
关键字: KingbaseES、SSL、安全和认证 使用方法 KingbaseES有一个对使用SSL连接加密客户端/服务器通讯的本地支持,它可以增加安全性。 一、服务端进行相关配置 配置安全证书(证书原位置位于Server/share目录下) 把root.crt、kingbase.crt、kingbase.key拷贝至.kingbase/,权限改为600: 在 Unix 系统上,server.key上的权限必须不允许所有人或组的任何访问,通过命令chmod 0600 server.key可以做到
人大金仓数据库KingbaseES数据安全传输
arthemis_14的博客
09-06 355
KingbaseES提供了对数据的保护,并在数据传输中提供了加密手段保证数据不好再未经授权的情况下被获取。更多信息,参见。
金仓数据库KingbaseES安全指南--6.6. SSL客户端证书认证
arthemis_14的博客
07-29 1198
金仓数据库KingbaseES安全指南--6.6. SSL客户端证书认证
人大金仓驱动8.6-8.2
12-02
人大金仓数据库是一款由中国人民大学信息学院开发的国产关系型数据库管理系统,主要应用于政府、企事业单位的数据存储和管理。在“人大金仓驱动8.6-8.2”这个主题中,我们关注的是人大金仓数据库的不同版本及其配套...
MySQL+人大金仓+数据迁移
09-09
"MySQL+人大金仓+数据迁移" MySQL 是一个流行的开源关系数据库管理系统,而人大金仓是基于 PostgreSQL 的一款商业数据库管理系统。数据迁移是指将数据从一个数据库管理系统迁移到另一个数据库管理系统的过程。本文...
人大金仓v8r6jdbc驱动包
11-19
人大金仓v8r6jdbc驱动包
人大金仓驱动包kingbase8-8.6.0
08-04
人大金仓驱动包kingbase8-8.6.0,连接数据库或者spring boot项目连接时可用。
人大金仓数据库用户手册
04-16
人大金仓数据库用户手册知识点汇总 人大金仓数据库用户手册是 KingbaseES V8 数据库管理系统的官方指导手册,旨在帮助用户快速了解和掌握 KingbaseES V8 的使用和管理。下面是人大金仓数据库用户手册中的关键知识点...
人大金仓适配mysql和oracle函数适配
aa473947751的博客
08-01 3931
人大金仓适配mysql和oracle函数适配和迁移方案
人大金仓KingbaseES sslinfo 插件
arthemis_14的博客
01-05 367
KingbaseES数据库可将以下内容添加到 kingbase.conf 文件的 shared_preload_libraries 中,重启数据库时自动加载。KingbaseES对使用SSL 连接加密客户端/服务器通讯的本地支持,可以增加数据传输安全性。如果“ssl = true”,那么这么客户端已经使用ssl连接数据库。本文展示配置ssl连接,并通过安装一个插件验证ssl加密认证使用。注意连接时候需要加上-h参数,否则不以ssl方式连接。KingbaseES 数据库配置单向SSL认证连接。
人大金仓查询license有效期
l135033303的博客
01-07 7282
select GET_LICENSE_VALIDDAYS();
linux环境下kingbase的简单操作命令
热门推荐
wangrr827927的博客
12-16 1万+
1、切换使用kingbase su - kingbase 2、查看版本信息 kingbase -V 3、查看54321端口使用情况 netstat -an|grep 54321 4、查看kingbase的进程 ps aux |grep Kingbase ps -ef|grep kingbase 5、启动数据库 在linux安装路径下的Server下的bin下。 输入格式为 ../kingbase -D 安装路径或者./kingbase -D 安装路径& ./kingbase -D .
golang 连接使用人大金仓(kingbase) 数据库
tianwenxue的专栏
10-19 2853
人大金仓提供了 kingbase 数据库 golang 版驱动,为了在 golang 中使用,可以采用以下方式 驱动程序下载地址: https://kingbase.oss-cn-beijing.aliyuncs.com/KESV8R3/V8R6/v8r6_interface/golang.rar 本地测试代码目录结构 使用步骤: 1. 创建目录 kingbase@v0.0.0,将驱动源码放在目录中 2. 在 go.mod 中配置本地模块信息 require kingbase.com/gokb v0.
人大金仓安装及数据库连接配置
weixin_43525290的博客
04-07 1万+
安装步骤: 人大金仓安装步骤 配置数据库连接 1、导入数据库驱动jar包,当安装完成之后,数据库安装目录下存在所需要的数据库驱动,将驱动导入到项目中进行编译: 2、修改金仓数据库连接配置信息: hibernate.default_schema=PUBLIC #注意此处设置,若设置为数据库名,则初始化错误,建议使用PUBLI...
人大金仓 过期 更换license
qq22692150的博客
05-17 1万+
人大金仓 过期 更换license 在网上找不到对应资料,如何简单快速的更换人大金仓license 背景 启动数据库失败,于是查看日志:/data/kingbase/ES/V8/data/sys_log/startup.log,提示如下: FATAL: XX000: License file expired. LOCATION: PostmasterMain, postmaster.c:623 FATAL: XX000: License file expired. LOCATION: Postm
Windows下编译OpenSSL静态库
最新发布
mickey2007的博客
07-08 941
OpenSSL是一个功能丰富且开源的安全工具箱,它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
人大金仓ssl强制认证
08-23
人大金仓提供了SSL强制认证的功能。如果参数sslmode被设置为verify-full,libkci 将会验证服务器证书的合法性,并且还要验证服务器主机名是否匹配证书。如果服务器证书无法通过验证,SSL连接将失败。而在客户端方面,需要提供受信任的证书,并将其放置在数据目录文件中。然后修改KingbaseES.conf中的参数ssl_ca_file到新的文件名,并在sys_hba.conf文件中适当的hostssl行上添加认证选项clientcert=1。在SSL连接启动时,客户端会向服务器请求该证书,并且服务器会验证该证书是否由受信任的证书颁发机构签名。如果希望避免将中间证书显示在ssl_ca_file文件中,也可以将其显示在该文件中。此外,如果参数ssl_crl_file被设置,还会检查证书撤销列表(CRL)项。因此,在安全敏感的环境中,建议使用SSL强制认证。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [金仓数据库KingbaseES安全指南--5.1. 数据库传输安全](https://blog.csdn.net/arthemis_14/article/details/126021012)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值