YashanDB 数据库服务端 SSL 连接配置

本文内容来自 YashanDB 官网，原文内容请见 https://doc.yashandb.com/yashandb/23.3/zh/%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86/%E5%9F%BA%E6%9C%AC%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86/SSL%E8%BF%9E%E6%8E%A5%E9%85%8D%E7%BD%AE/%E6%95%B0%E6%8D%AE%E5%BA%93%E6%9C%8D%E5%8A%A1%E7%AB%AFSSL%E8%BF%9E%E6%8E%A5%E9%85%8D%E7%BD%AE.html

YashanDB 启用 SSL 连接要求由服务器生成根证书、服务器证书和 DH 文件，客户端获取服务器的根证书，在通讯时进行客户端到服务端的安全验证。

Caution：

• 一旦服务器开启 SSL 连接，所有的客户端都必须有根证书才能连接到数据库。

• 启用 SSL 连接和用户密码认证无关联，用户登录数据库仍需输入密码。

# 服务端配置

# 工具准备

生成证书需使用 OpenSSL 工具，请先参照依赖项准备检查并确保服务器系统中已安装符合要求的工具。

# 生成证书

以下步骤中的工具命令选项、路径、名称等无限制，用户可依据自身环境和需要替换为其他值。

1. 生成根证书（自签名，包含服务端公钥）：

2. 根证书用于给数据库服务器证书签名，和发送给客户端用于 SSL 连接验证，本手册生成证书的路径为/home/yashan/YASDB_DATA/config，以该路径为例进行介绍。

3. 生成根证书请求文件和服务器私钥：

4. 生成服务器证书并签名：

5. 生成 DH 文件：

Note：

根证书或服务器证书过期后，需重新生成证书。

# 配置参数

1. 在数据库打开 SSL 连接开关，并配置证书路径。其中，路径仅可指定为绝对路径，且最长不超过 254 字节。

2. 重启数据库。

Warn：

如打开了 SSL 连接开关，但未配置证书路径，或者配置路径不正确，数据库将无法启动。

# 客户端配置

本手册以 Linux 平台为例介绍客户端配置。

1. 下载服务端根证书，放至本地路径，如/home/yasdb/cert。

2. 在 YashanDB 客户端文件夹中新建 client 文件夹，并于 client 文件夹中新建空文件 yasc_env.ini。

3. 设置环境变量。

4. Note：

   YASDB_HOME 路径需要指向 YashanDB 客户端文件夹。

5. 在 ${YASDB_HOME}/client/yasc_env.ini 中增加如下配置：

6. 其中，配置中的路径可指定为绝对或相对路径，但不能为含有../的相对路径，且系统按前 255 字节长度进行文件读取。