密钥证书的管理需要管理员用户通过 SQL 方式处理,针对密文密钥用户需 要牢记口令,系统不记录用户口令。
1. 证书存储位置
证书存放在 config 目录; gnode:$GBASE_BASE/config/encryption.crt
2.语法描述
3.创建证书 CREATE ENCRYPTION CERTIFICATE IDENTIFIED BY ’password’ [CONTENT ‘密钥内容’] 说明: 1) 该语法可创建明文、密文密钥证书, 如果 password 为空,则创建明文密钥证书,不需要口令; 如果 password 非空,则创建密文密钥证书,需要口令; 2) CONTENT 是密钥内容关键字,可选项,如果不指定该关键字,则创建 时由系统自动生成密钥;如果指定,则需要用户手动输入密钥,内容 不做限制,最大支持 128 字节;1) 明文密钥创建完成后,即可对加密列做 dml 操作;密文密钥还需要 open 操作,方可对加密列做 dml 操作; 2) 密钥证书只能创建一次,不能重复创建; 3) 密文密钥,须用户牢记口令,系统不记录口令; 10.3.1 打开/关闭证书 根据口令打开密文密钥证书 ALTER ENCRYPTION CERTIFICATE OPEN IDENTIFIED BY ‘password’ 关闭密钥证书 ALTER ENCRYPTION CERTIFICATE CLOSE; 【注】关闭密钥后,所有对加密列的 dml 操作将会失效; 10.3.2 显示证书状态 SELECT * FROM INFORMATION_SCHEMA.ALL_ENCRYPTION_CERTIFICATE_STATUS; 说明:显示所有节点的密钥证书状态 gbase> SELECT * FROM INFORMATION_SCHEMA.ALL_ENCRYPTION_CERTIFICATE_STATUS; +----------------+------------+----------+-------------+ | NODE_NAME | IS_CREATE | KEY_TYPE | OPEN_STATUS | +----------------+------------+----------+-------------+ | coordinator1 | NO | 0 | OFF | | node1 | NO | 0 | OFF | | node1 | NO | 0 | OFF | +----------------+------------+----------+-------------+ 3 rows in set 10.3.3 修改证书口令ALTER ENCRYPTION CERTIFICATE IDENTIFIED BY ‘old_pwd’ TO ‘new_pwd’ 说明:修改密文密钥口令,old_pwd、new_pwd 均非空;
4. 明文、密文密钥转换
ALTER ENCRYPTION CERTIFICATE IDENTIFIED BY ‘’ TO ’ password’ 说明:明文密钥转换为密文密钥,password 不能为空; ALTER ENCRYPTION CERTIFICATE IDENTIFIED BY ‘password’ TO ‘’ 说明:密文密钥转换为明文密钥,password 不能为空;