背景信息

只要开启了TLS功能，不同数据中心节点（即nodedomain值为1对应的replconninfo配置的节点）之间只能使用TLS加密传输，不支持配置。

操作步骤

1. 配置双机TLS加密的相关参数，详细的配置过程请参见使用SSL进行安全的TCP/IP连接。
2. （可选）关闭同地域节点之间TLS功能，相关配置请参见表3-5。

   您可以选择同一个数据中心的双机之间不使用TLS功能，不同数据中心的双机之间选择TLS功能。这有时候是很必要的，因为关闭本地信任网络上的TLS功能会提高数据库双机的性能。

   使用建议：

   如果仅需在不同地域的非信任网络中使用TLS功能，而同地域的信息网络中不使用TLS功能，可通过gs_guc命令修改所有节点上该变量的值为0。gs_guc set -c localdomain_ssl_mode=0

   表3-5 与同地域TLS功能相关的配置参数

   参数名称	参数说明	取值
   nodedomain相关参数（nodedomain1到nodedomain7）	与7个replconninfo一一对应， 表示对应节点与本机是否异地。	取值： 0：对应replconninfo所配置的节点是本地节点； 1：对应replconninfo所配置的节点是异地节点。 缺省值：0
   localmode_ssl_mode	在TLS功能开启后，该参数决定同地域节点之间是否优先选用TLS功能。	取值： 1：同地域节点之间选用TLS功能。 0：同地域节点之间不选用TLS功能。 缺省值：1
   repl_force_cert_check	强制证书校验，在TLS功能开启后，会对证书进行强制校验。	取值： repl_force_cert_check='repl_All_peer_cn=gauss_ca_file'：所有连接证书的Common Name均相同，且为gauss_ca_file。这里gauss_ca_file为举例，需要根据实际证书的Common Name配置该参数。 repl_force_cert_check='repl1_peer_cn=gauss_ca_file1;repl2_peer_cn=gauss_ca_file2;…;repl7_peer_cn=gauss_ca_file7'：分别配置连接证书的Common Name。这里gauss_ca_file1~7为举例，需要根据实际证书的Common Name配置该参数。 说明： 该参数只在主机节点生效，为防止主备倒换后参数失效，需要在主备机节点分别配置。 如果省略某个replX_peer_cn的配置，则对应的备机连接证书的Common Name值replconninfoX为空。 如果配置双机主备连接证书的Common Name值非空，而对应的备机未配置证书，则拒绝TLS连接，提示认证失败。 缺省值：空，该参数无效。 如备机端不提供证书，则采用匿名认证。 如备机端提供证书，则通过CA证书校验方式认证。

3. 重启GaussDB使配置生效。
   • 主机：gs_ctl restart -M primary
   • 备机：gs_ctl restart -M standby

前提条件

背景信息

GaussDB支持TLS1.2协议标准，TLS1.2协议是一种安全性更高的协议标准，它加入了数字签名和数字证书来实现客户端和服务器的双向身份验证，保证了通信双方更加安全的数据传输。

如果只是为了测试，可以使用Openssl生成证书。

SSL相关的参数既控制客户端和主机的SSL通讯，同时还控制着主机和备机之间的SSL通讯。

操作步骤

以下操作需要在主机、备机和客户端上分别执行。对于只需要在主机或者备机上执行的情况，请查看每个步骤中的说明。

1. 以gaussuser用户身份登录GaussDB服务器。
2. 开启SSL认证模式。

   gs_guc set -c ssl=on

3. 以主机证书文件为例，把服务器端证书文件上传到“/opt/gaussdb/data”目录下。
   • 主机根证书
   • 主机服务端证书
   • 主机服务端密钥文件
4. 以主机证书文件为例，把客户端证书文件上传到“/home/gaussuser”目录下。
   • 备机客户端证书
   • 备机客户端密钥文件
   • 备机根证书
5. 配置SSL认证相关的数字证书参数，具体要求请参见表3-6。
   • 配置为服务器端参数，具体参数说明请参见表3-7。
     gs_guc set -c "ssl_cert_file='server.crt'"

     gs_guc set: ssl_cert_file='server.crt' 

     gs_guc set -c "ssl_key_file='server.key'"

     gs_guc set: ssl_key_file='server.key'

     gs_guc set -c "ssl_ca_file='cacert.pem'"

     gs_guc set: ssl_ca_file='cacert.pem' 

     gs_guc set -c "ssl_crl_file=' '"

     gs_guc set: ssl_crl_file=' '

     gs_guc set -c "ssl_ciphers='ALL'"

     gs_guc set: ssl_ciphers='ALL'

     gs_guc set -c "repl_force_cert_check = 'repl_All_peer_cn=debug.com'"

     gs_guc set: repl_force_cert_check='repl_All_peer_cn=debug.com'

     其中，debug.com为证书里的CN值。
     说明：

     • 从安全性考虑，建议使用双向认证方式。
     • 替换证书后，如果不去掉服务器私钥的密码保护，需要使用gs_guc -M server -K hsKd@3757命令对存储密码进行加密保护，详细请参见如何用openssl创建自认证数字证书（可选）。“hsKd@3757”是私钥口令，需要配置为新证书的私钥口令，新证书私钥口令不要使用缺省值，并且应满足口令复杂度要求。
     表3-6 认证方式

     认证方式	含义	配置服务器端参数（对于双机，需要在主机和备机上配置）	配置客户端环境变量
     双向认证（推荐）	客户端验证服务器证书的有效性，同时服务器端也要验证客户端证书的有效性，只有认证成功，连接才能建立。	将服务器证书、服务器私钥、废弃证书和根证书拷贝到$GAUSSDATA下，并设置如下参数： ssl_cert_file ssl_key_file ssl_ca_file ssl_crl_file ssl_ciphers 参数的取值请参见表3-7和表3-9。	设置如下环境变量： PGSSLCERT PGSSLKEY PGSSLROOTCERT PGSSLCRL PGSSLMODE 环境变量的取值请参见表3-8。
     服务器认证	客户端只验证服务器证书的有效性，而服务器端不验证客户端证书的有效性。服务器加载证书信息并发送给客户端，客户端使用根证书来验证服务器端证书的有效性。	将服务器端证书和私钥文件拷贝到$GAUSSDATA下，并设置如下参数： ssl_cert_file ssl_key_file ssl_ciphers 参数的取值请参见表3-7和表3-9。	设置如下环境变量： PGSSLROOTCERT PGSSLCRL PGSSLMODE 环境变量的取值请参见表3-8。
     客户端认证	服务器端只验证客户端证书的有效性，而客户端不验证服务端证书的有效性。在握手阶段，客户端将加载证书信息并发送给服务器，服务器端使用根证书来验证客户端证书的有效性。	将服务器端的根证书和证书吊销列表拷贝到$GAUSSDATA下，并设置如下参数： ssl_ca_file ssl_crl_file ssl_ciphers 参数的取值请参见表3-7和表3-9。	设置如下环境变量： PGSSLROOTCERT PGSSLCRL PGSSLMODE 环境变量的取值请参见表3-8。

6. 分别到“/opt/gaussdb/data”和“/home/gaussuser”目录下，修改3和4中上传的所有证书文件的权限，以修改服务器密钥的权限为例。假设名称为server.key，在“/opt/gaussdb/data”目录下。

   权限必须是600，且属主为gaussuser，属组为dbgrp。如果权限不满足要求，则GaussDB无法启动。使用如下命令修改权限：

   cd /opt/gaussdb/data

   chown gaussuser:dbgrp server.key

   chmod og-rwx server.key

7. 在备机和级联备机上，还需要进行以下配置，才能使主备之间、备机和级联备机之间正常通讯（此时，备机相当于是主机的客户端，级联备机相当于是备机的客户端）。
   • 设置环境变量PGSSLCERT、PGSSLKEY、PGSSLROOTCERT和PGSSLCRL，环境变量的取值请参见表3-8。
   • 配置ssl_ciphers参数（建议保持缺省值ALL），GaussDB支持的加密算法请参见表3-9。
8. 重启GaussDB使配置生效。

   主机gs_ctl restart -M primary

   备机gs_ctl restart -M standby

相关参考

在GaussDB服务器端的postgresql.conf文件中配置相关参数，详细请参见表3-7。

在GaussDB客户端配置SSL认证相关的环境变量，详细请参见表3-7。

export PGSSLCERT="/home/gaussdb/data/client.crt"

export PGSSLKEY="/home/gaussdb/data/client.key"

export PGSSLROOTCERT="/home/gaussdb/data/root.crt"

export PGSSLCRL="/home/gaussdb/data/root.crl"

GaussDB SSL传输支持一系列不同强度的加密和认证算法。您可以通过修改postgresql.conf中的ssl_ciphers来指定数据库服务器使用的加密算法。目前GaussDB SSL支持的加密算法如表3-9。

说明：

• GaussDB SSL目前只支持加密强度在middle以上的加密算法。
• 配置参数ssl_ciphers的缺省值为ALL，代表支持上表中的所有加密算法。如果对加密算法没有特殊要求，建议您使用该缺省值。
• 如指定以上多种加密，加密算法之间需要以分号分割。
  如使用gs_guc set命令设置ssl_ciphres的值为几种算法组合：

  gs_guc set -c ssl_ciphers="'AES256-SHA;DES-CBC3-SHA;AES128-SHA'"

• 如果要使用上表中和DSS相关的加密算法（如DHE-DSS-AES256-SHA 、EDH-DSS-DES-CBC3-SHA等）必须加载使用DSA算法签名的证书文件。如何使用openssl产生DSA算法签名的证书文件，请参见openssl官方文档。

示例

Linux 10/11默认安装了openssl组件，可利用它来创建自认证证书。

默认安装路径一般为/usr/local/ssl。

示例如下，其中##是注释。

##以root用户身份登录Linux
gauss21:~ # cd /usr/local/ssl/misc
gauss21:/usr/local/ssl/misc # ls
CA.pl  c_hash  c_issuer  CA.sh  c_info  c_name

##创建CA，将在当前目录下生成demoCA文件夹
gauss21:/usr/local/ssl/misc # ./CA.sh -newca
CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 1024 bit RSA private key
...........................++++++
..............++++++
writing new private key to './demoCA/private/./cakey.pem'

##设置根证书的保护密码，最少要求4个字符，假设为CBad@3597
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

##以下名称请牢记，生成服务器证书和客户端证书时填写的信息需要与此处的一致
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:shanxi
Locality Name (eg, city) []:xian
Organization Name (eg, company) [Internet Widgits Pty Ltd]:company-A
Organizational Unit Name (eg, section) []:Unit-1
##Common Name可以随意命名
Common Name (eg, YOUR name) []:john
##Email可以选择性填写
Email Address []:

gauss21:/usr/local/ssl/misc # ls
CA.pl  CA.sh  c_hash  c_info  c_issuer  c_name  demoCA

##生成服务器证书请求文件server.req和服务器私钥server.key
gauss21:/usr/local/ssl/misc # openssl req -newkey rsa:1024 -out server.req -keyout server.key
Generating a 1024 bit RSA private key
.......++++++
..++++++
writing new private key to 'server.key'
##服务器私钥的保护密码，最少要求4个字符，假设为DKbs@5873
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
##以下填写的信息与创建CA时的信息一致
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:shanxi
Locality Name (eg, city) []:xian
Organization Name (eg, company) [Internet Widgits Pty Ltd]:company-A
Organizational Unit Name (eg, section) []:Unit-1
##Common Name可以随意命名
Common Name (eg, YOUR name) []:rose
Email Address []:
##以下信息可以选择性填写
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

gauss21:/usr/local/ssl/misc # ls
CA.pl  CA.sh  c_hash  c_info  c_issuer  c_name  demoCA  server.key  server.req

##对生成的服务器证书请求文件进行签发，签发后将生成正式的服务器证书server.crt
gauss21:/usr/local/ssl/misc # openssl ca -in server.req -out server.crt
Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jul 11 12:14:23 2013 GMT
            Not After : Jul 11 12:14:23 2014 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = shanxi
            organizationName          = company-A
            organizationalUnitName    = Unit-1
            commonName                = rose
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                66:11:DB:B1:8A:6F:A9:E8:58:C8:F8:BE:50:B4:32:BA:79:79:2B:6C
            X509v3 Authority Key Identifier:
                keyid:3E:FD:3D:16:5B:9B:44:DE:72:96:36:C7:A0:13:97:D6:9B:0E:71:30

Certificate is to be certified until Jul 11 12:14:23 2014 GMT (365 days)

##选择y对证书进行签发
Sign the certificate? [y/n]:y

##选择y，证书签发结束
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
gauss21:/usr/local/ssl/misc # ls
CA.pl  c_hash  c_issuer  demoCA      server.key
CA.sh  c_info  c_name    server.crt  server.req
##去掉服务器私钥的密码保护
gauss21:/usr/local/ssl/misc # openssl rsa -in server.key -out server.key
##如果不去掉服务器私钥的密码保护需要使用gs_guc工具对存储密码进行加密保护
gauss21:/usr/local/ssl/misc # gs_guc encrypt -M server -K Gauss@123
##在本示例中，服务器私钥的密码为DKbs@5873
Enter pass phrase for server.key:
writing RSA key

##生成客户端证书和客户端私钥的方法和要求与服务器相同
##生成客户端证书请求文件和客户端私钥
gauss21:/usr/local/ssl/misc # openssl req -newkey rsa:1024 -out client.req -keyout client.key 
##对生成的客户端证书请求文件进行签发，签发后将生成正式的客户端证书client.crt
gauss21:/usr/local/ssl/misc # openssl ca -in client.req -out client.crt
##去掉客户端私钥的密码
gauss21:/usr/local/ssl/misc # openssl rsa -in client.key -out client.key
##如果不去掉客户端私钥的密码保护需要使用gs_guc工具对存储密码进行加密保护
gauss21:/usr/local/ssl/misc # gs_guc encrypt -M client -K Gauss@123

##在TLS双向认证模式下，需要CA根证书，如何生成呢？
cd /usr/local/ssl/misc/demoCA
##如下所示，在创建CA时，demoCA文件夹下生成了cacert.pem文件，此文件即为CA根证书
##对于PgAdmin，您可以将cacert.pem修改后缀名为cacert.crt使用
gauss21:/usr/local/ssl/misc/demoCA # ls
cacert.pem  crl        index.txt.attr  newcerts  serial
certs       index.txt  index.txt.old   private   serial.old

背景信息

• GaussDB支持如下三种认证方式，无论哪种认证方式，都需要配置pg_hba.conf文件。
  • 基于主机的认证：服务器端根据客户端的IP地址、用户名及要访问的数据库来查看配置文件从而判断用户是否通过认证。
  • 口令认证：包括远程连接的加密口令认证和本地连接的非加密口令认证。
  • TLS加密：使用VPP TLS提供服务器端和客户端安全连接的环境。
• pg_hba.conf文件的格式是一个记录写在一行，表示一个认证规则，空白和注释（#开头）被忽略。
• 每个认证规则是由若干空格和/或制表符分隔的字段组成。如果字段用引号包围，则它可以包含空白。记录不能跨行存在。

操作步骤

以单机为例进行介绍。数据库双机部署场景下，可分别在主备机上配置，配置方法与单机类似。

1. 以gaussuser用户身份登录GaussDB服务器。
2. 在pg_hba.conf文件中增加或者调整认证规则。

   pg_hba.conf文件中的每条记录可以是下面四种格式之一，四种格式的参数说明请参见配置文件参考。

   local     DATABASE USER METHOD [OPTIONS]
   host      DATABASE USER ADDRESS METHOD [OPTIONS]
   hostssl   DATABASE USER ADDRESS METHOD [OPTIONS]
   hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]

   因为认证时系统是为每个连接请求顺序检查pg_hba.conf里的记录的，所以这些记录的顺序是非常关键的。

   因此对于认证规则的配置建议如下：

   • 靠前的记录有比较严格的连接参数和比较弱的认证方法。
   • 靠后的记录有比较宽松的连接参数和比较严格的认证方法。
   说明：

   一个用户要想成功连接到特定的数据库，不仅需要通过pg_hba.conf中规则的检查，还必须要有该数据库上的CONNECT权限。如果希望限制哪些用户能够连接到哪些数据库，赋予/撤销CONNECT权限通常比在pg_hba.conf中设置规则更为简单。

3. 重启数据库服务使配置生效。

   gs_ctl restart

异常处理

用户认证失败有很多种原因，通过服务器返回给客户端的提示信息，可以看到用户认证失败的原因。常见的错误提示请参见表3-10。

任务示例

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
#表示只允许以安装时-U参数指定的用户从服务器本机进行连接
local   all             all                                     trust
# IPv4 local connections:
#表示允许gaussuser用户从10.10.10.2主机上连接到GaussDB的任意数据库，使用sha256算法对密码进行加密
host    all           gaussuser             10.10.10.2/32            sha256
#表示允许任何用户从10.0.0.0/8网段的主机上连接到GaussDB的任意数据库，使用sha256算法对密码进行加密
hostssl    all             all             10.0.0.0/8            sha256