GaussDB数据库--前向兼容与安全增强

前向兼容与安全增强

前向兼容

在上文中，支持通过key_info设置访问外部密钥管理的参数：

• 利用gsql时，通过元命令\key_info xxx设置。
  
• 利用JDBC时，通过连接参数conn.setProperty(“key_info”, “xxx”)设置。
  

为保持前向兼容，还支持通过环境变量等方式设置访问主密钥的参数。
第一次配置利用密态数据库时，可忽略下述方法。如果以前利用下述方法配置密态数据库，建议改用’key_info’配置。
利用系统级环境变量配置的方式如下：

1. export HUAWEI_KMS_INFO='iamUrl=https://iam.{项目}.myhuaweicloud.com/v3/auth/tokens,iamUser={IAM用户名},iamPassword={IAM用户密码},iamDomain={账号名},kmsProject={项目}'
2. # 该方法中操作系统日志可能会记录环境变量中的敏感信息，使用过程中注意及时清理。

复制代码

还可通过尺度库接口设置进程级环境变量，不同语言设置方法如下：

• C/C++
  1. setenv("HIS_KMS_INFO", "xxx");

  复制代码
• GO
  1. os.Setenv("HIS_KMS_INFO", "xxx");

  复制代码
  
  
  

外部密钥服务的身份验证

当数据库驱动访问华为云密钥管理服务时，为避免攻击者伪装为密钥服务，在数据库驱动与密钥服务建立https连接的过程中，可通过CA证书验证密钥服务器的正当性。为此，需提前配置CA证书，如果未配置，将不会验证密钥服务的身份。本节介绍怎样下载与配置CA证书。
配置方法
在key_info参数的中，增加证书相关参数即可。

• 利用gsql时
  1. gaussdb=# \key_info keyType=hcs_kms,iamUrl=https://iam.xxx.com/v3/auth/tokens,iamUser={IAM用户名},iamPassword={IAM用户密码},iamDomain={账号名},kmsProject={项目},iamCaCert=/路径/IAM的CA证书文件,kmsCaCert=/路径/KMS的CA证书文件
  3. gaussdb=# \key_info keyType=hcs_kms,kmsProjectId={项目ID},ak={AK},sk={SK},kmsCaCert=/路径/KMS的CA证书文件

  复制代码
  
  
  
• 利用JDBC时
  1. conn.setProperty("key_info", "keyType=hcs_kms," +
  2.     "iamUrl=https://iam.{xxx.com/v3/auth/tokens," +
  3.     "iamUser={IAM用户名}," +
  4.     "iamPassword={IAM用户密码}," +
  5.     "iamDomain={账号名}," +
  6.     "kmsProject={项目}," +
  7.     "iamCaCert=/路径/IAM的CA证书文件," +
  8.     "kmsCaCert=/路径/KMS的CA证书文件");
  10. conn.setProperty("key_info", "keyType=hcs_kms, kmsProjectId={项目ID}, ak={AK}, sk={SK}, kmsCaCert=/路径/KMS的CA证书文件");

  复制代码
  
  
  

获取证书
大部分欣赏器均会主动下载网站对应的CA证书，并提供证书导出功能。虽然，诸如SSL在线工具-在线获取网站证书或证书链-下载HTTPS服务端证书-SSLeye官网等很多网站也提供主动下载CA证书的功能，但大概因当地环境中存在代理或网关，导致CA证书无法正常利用。以是，建议借助欣赏器下载CA证书。下载方式如下：
由于利用restful接口访问密钥服务，当在欣赏器输入接口对应的url时，可忽略下述2中的失败页面，由于即使在失败的情况下，欣赏器也早已提前主动下载CA证书。

• 输入域名：打开欣赏器，在华为云场景中，分别输入IAM服务器地点和KMS服务器地点，地点获取方式参见：天生主密钥阶段。
  
• 查找证书：在每次输入域名后，找到SSL连接相关信息，单击后会发现证书，继续单击可查看证书内容。
  
• 导出证书：在证书查看页面，大概会看到证书分为很多级，仅必要域名的上一级证书即可，选择该证书并单击导出，便可直接天生证书文件，即必要的证书文件。
  
• 上传证书：将导出的证书上传至应用端，并配置到上述参数中即可。
  

更多详情请参考GaussDB 文档中心：https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/productdesc/qlh_03_0001.html

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。