本文内容来自YashanDB官网,原文内容请见 https://doc.yashandb.com/yashandb/23.3/zh/%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86/%E5%9F%BA%E6%9C%AC%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86/TLCP%E8%BF%9E%E6%8E%A5%E9%85%8D%E7%BD%AE.html
YashanDB启用TLCP连接要求由Gmssl工具生成相关证书,在完成相关证书的正确配置后,通讯时进行客户端到服务端的安全验证。
Caution:
一旦服务器开启TLCP连接,所有的客户端都必须正确配置证书才能连接到数据库。
启用TLCP连接和用户密码认证无关联,用户登录数据库仍需输入密码。
# 服务端配置
# 工具准备
生成证书需使用GmSSL工具,请先参照依赖项准备检查并确保服务器系统中已安装符合要求的工具。
# 生成证书
以下步骤中的工具命令选项、路径、名称等无限制,用户可依据自身环境和需要替换为其他值。
生成服务端证书:
生成根证书
生成CA证书
使用CA证书签发签名证书
使用CA证书签发加密证书
生成客户端证书
# 配置参数
在数据库打开TLCP连接开关,并配置证书路径。其中,路径仅可指定为绝对路径,且最长不超过254字节。
Warn:
如果打开了TLCP连接开关,但未配置证书路径或配置路径不正确,数据库将无法启动。
重启数据库。
# 客户端配置
本文以Linux平台为例介绍客户端配置。
下载服务端根证书,放至本地路径,如/data/tlcp。
在YashanDB客户端文件夹中新建client文件夹,并于client文件夹中新建空文件yasc_env.ini。
设置环境变量。
Note:
YASDB_HOME路径需要指向YashanDB客户端文件夹。
在${YASDB_HOME}/client/yasc_env.ini中增加如下配置:
其中,配置中的路径可指定为绝对或相对路径,但不能为含有../的相对路径,且系统按前255字节长度进行文件读取。
