证书替换

操作场景

openGauss默认配置了SSL连接所需要的安全的证书、私钥,用户如果需要替换为自己的证书、私钥则可按照此方法进行替换。

前提条件

用户需要从CA认证中心申请到正式的服务器、客户端的证书和密钥。

注意事项

openGauss目前只支持X509v3的PEM格式证书。

操作步骤

  1. 准备证书、私钥。

    服务端各个配置文件名称约定:

    • 证书名称约定:server.crt。
    • 私钥名称约定:server.key。
    • 私钥密码加密文件约定:server.key.cipher、server.key.rand。

    客户端各个配置文件名称约定:

    • 证书名称约定:client.crt。
    • 私钥名称约定:client.key。
    • 私钥密码加密文件约定:client.key.cipher、client.key.rand。
    • 根证书名称约定:cacert.pem。
    • 吊销证书列表文件名称约定:sslcrl-file.crl。
  2. 制作压缩包。

    压缩包名称约定:db-cert-replacement.zip。

    压缩包格式约定:ZIP。

    压缩包文件列表约定:server.crt、server.key、server.key.cipher、server.key.rand、client.crt、client.key、client.key.cipher、client.key.rand、cacert.pem。如果需要配置吊销证书列表,则列表中包含sslcrl-file.crl。

  3. 调用接口,执行替换。

    a. 将制作好的压缩包db-cert-replacement.zip上传到openGauss用户下的任意路径。

    例如:/home/xxxx/db-cert-replacement.zip。

    b. 调用如下命令进行替换。

    1. gs_om -t cert --cert-file= /home/xxxx/db-cert-replacement.zip
  4. 重启openGauss。

    1. gs_om -t stop
    2. gs_om -t start

证书替换 - 图1 说明:
证书具有rollback功能,可以把上一次执行证书替换之前的证书,进行回退。可以使用gs_om -t cert —rollback进行远程调用该接口;使用gs_om -t cert —rollback -L进行本地调用该接口。以上一次成功执行证书替换后,被替换的证书版本为基础进行回退。