SSL证书生成以及数据库配置SSL

最新推荐文章于 2025-10-03 10:11:25 发布
原创 最新推荐文章于 2025-10-03 10:11:25 发布 · 3.8k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #数据库

自签名SSL证书生成

步骤 1:生成服务器私钥

首先,生成服务器私钥文件:

openssl genrsa -out server.key 2048

这会生成一个 2048 位的私钥文件 server.key

步骤 2:生成证书签名请求(CSR)

使用上一步生成的私钥创建一个 CSR 文件,用来告诉证书颁发者证书的信息(包括主机名)。

openssl req -new -key server.key -out server.csr

执行该命令后,会提示输入一些信息,如:

  • Country Name (2 letter code): 国家代码,如 CN(中国)
  • State or Province Name (full name): 省份
  • Locality Name (eg, city): 城市
  • Organization Name (eg, company): 公司或组织名称
  • Organizational Unit Name (eg, section): 部门
  • Common Name (e.g. server FQDN or YOUR name): 这点非常重要,应该填写服务器的域名或主机名。例如,假如你连接的是 localhost,请将这里填写为 localhost

步骤 3:生成自签名证书

使用生成的 CSR 文件生成自签名的服务器证书:

openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365

这会生成一个有效期为 365 天的自签名证书 server.crt

步骤 4:数据库配置 SSL——以Kingbase为例

在生成的证书和私钥后,更新你的 kingbase.confssl 文件的相关配置:

ssl = on
ssl_cert_file = 'D:\\card\\server.crt'
ssl_key_file = 'D:\\card\\server.key'
ssl_ciphers = 'ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE'
ssl_prefer_server_ciphers = on
ssl_min_protocol_version = 'TLSv1.2'
ssl_max_protocol_version = ''

如果你是在 Windows 环境下,需要确保路径是使用 \\ 作为路径分隔符。

更新你的sys_hba.conf:限制只能通过ssl连接

hostssl all             all             127.0.0.1/32            scram-sha-256
hostssl all             all             0.0.0.0/0               scram-sha-256
hostssl all             all             ::1/128                 scram-sha-256
hostssl all             all             ::0/0                   scram-sha-256
hostssl replication     all             127.0.0.1/32            scram-sha-256
hostssl replication     all             ::1/128                 scram-sha-256

步骤 5:更新 Spring Boot 配置

更新 Spring Boot 中的 application.propertiesapplication.yml,以匹配你生成的证书和主机名:

  • 确保 Common Name (CN) 和你连接的主机名一致。
  • 如果使用 localhost 作为主机名,证书的 CN 也应该为 localhost

例如:

spring.datasource.url=jdbc:kingbase8://localhost:54321/your_database_name?sslmode=require&ssl=true&sslrootcert=D:/card/server.crt&sslkey=D:/card/server.key

其他注意事项

  • 如果是生产环境,建议使用受信任的证书颁发机构(CA)生成的证书,而不是自签名证书。
  • 对于生产环境,请确保证书的安全性,并且证书的主机名和数据库连接使用的主机名是一致的。

如何使用 SAN 来支持多个 IP 地址

在 SSL 证书中,Common Name (CN) 只能填写一个值,通常是主机名或者域名,不能填写多个 IP 地址。然而,为了支持多个主机名或 IP 地址,你可以使用 Subject Alternative Name (SAN) 扩展字段,这也是当前更推荐的做法。SAN 允许你在证书中为多个域名或 IP 地址提供额外的标识,使证书能够匹配多个地址。

你可以在生成证书时,将多个 IP 地址添加到 SAN 中。具体步骤如下:

步骤 1:创建一个 OpenSSL 配置文件

首先,创建一个自定义的 OpenSSL 配置文件,例如 openssl.cnf,并添加 SAN 字段。下面是一个示例配置:

[ req ]
default_bits        = 2048
default_md          = sha256
distinguished_name  = req_distinguished_name
req_extensions      = req_ext
prompt              = no

[ req_distinguished_name ]
C                   = CN
ST                  = YourState
L                   = YourCity
O                   = YourOrganization
CN                  = localhost

[ req_ext ]
subjectAltName      = @alt_names

[ alt_names ]
IP.1                = 127.0.0.1
IP.2                = 192.168.1.100
IP.3                = 10.0.0.1
  • [ req ] 部分定义了一些基础信息,包括使用的加密位数(2048)和消息摘要算法(sha256)。
  • [ req_distinguished_name ] 部分定义证书的基本信息,例如国家、省份、城市、组织和 CNCN 可以是一个主机名或者 IP。
  • [ req_ext ] 部分定义了证书请求的扩展信息,这里我们通过 subjectAltName 来指定多个 IP。
  • [ alt_names ] 是实际的 SAN 配置,其中 IP.1IP.2 等定义了多个 IP 地址。

步骤 2:生成服务器私钥

openssl genrsa -out server.key 2048

步骤 3:生成证书签名请求(CSR)

使用自定义的 OpenSSL 配置文件生成 CSR:

openssl req -new -key server.key -out server.csr -config openssl.cnf

步骤 4:生成自签名证书

使用生成的 CSR 文件和私钥生成自签名证书,证书有效期为 365 天:

openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365 -extensions req_ext -extfile openssl.cnf

证书中的 SAN 配置

这样生成的证书将包含 Subject Alternative Name,并支持多个 IP 地址。如果客户端连接时使用证书中的任意一个 IP 地址,SSL 验证应该都能够成功。

验证证书中的 SAN

你可以使用以下命令验证生成的证书是否包含正确的 SAN 信息:

openssl x509 -in server.crt -text -noout

在输出中你应该能够看到 Subject Alternative Name 部分,列出了多个 IP 地址。

Spring Boot 配置

生成证书后,Spring Boot 的配置依然与之前相同,只需确保 sslrootcertsslkey 指向正确的路径即可。

spring.datasource.url=jdbc:kingbase8://127.0.0.1:54321/your_database_name?sslmode=require&ssl=true&sslrootcert=D:/card/server.crt&sslkey=D:/card/server.key

通过使用 SAN 你可以为证书绑定多个 IP 地址,这样无论是通过 127.0.0.1192.168.1.100 还是 10.0.0.1,SSL 都会成功验证。

确认SSL连接

要在 Spring Boot 客户端确认连接是通过 SSL 建立的,而不是普通的非加密连接,可以从以下几种方法进行验证:

1. 查看客户端 SSL 配置及日志

最直接的方法是查看 Spring Boot 启动时的日志。启用 SSL 连接后,JDBC 驱动通常会输出连接的相关信息。你可以增加日志级别来捕获 SSL 连接的详细信息。

步骤:
  1. application.properties 中启用详细的数据库日志:
logging.level.org.springframework.jdbc=DEBUG
logging.level.com.kingbase8=DEBUG
  1. 启动 Spring Boot 应用,查看日志输出。如果 SSL 连接成功建立,日志中应有类似以下的信息:
DEBUG com.kingbase8.Driver - Establishing SSL connection
DEBUG com.kingbase8.ssl.MakeSSL - SSL connection established

这些日志会确认 SSL 连接是否成功建立。

2. 通过数据库查询确认 SSL 连接

一些数据库允许通过 SQL 查询查看当前连接是否使用了 SSL。在人大金仓数据库中,使用 pg_stat_ssl 视图可以查询客户端是否通过 SSL 连接到数据库。

步骤:
  1. 连接到人大金仓数据库,执行以下 SQL 查询:
SELECT * FROM pg_stat_ssl;

这个查询会列出所有当前连接的会话,并包含 SSL 连接的信息,例如:

pidsslversioncipherbitsclientdn
1234tTLSv1.2ECDHE-RSA-AES128-GCM-SHA256128
  • ssl = t 表示该连接是通过 SSL 建立的。
  • versioncipher 列会显示当前使用的 SSL 协议和加密套件。
示例输出:

如果 SSL 连接成功建立,你会看到类似这样的行,ssl 列的值为 t,表示该连接是通过 SSL 建立的。

3. 使用 SQL 查询 pg_stat_ssl 来验证 SSL 连接

使用 JDBC 查询 pg_stat_ssl

你可以通过 JDBC 连接到数据库,并执行 SELECT * FROM pg_stat_ssl 来检查当前连接是否使用了 SSL:

示例代码:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class SSLConnectionCheck {

    public static void main(String[] args) {
        String jdbcUrl = "jdbc:kingbase8://localhost:54321/demo?sslmode=require";
        String username = "your_username";
        String password = "your_password";
        
        try (Connection conn = DriverManager.getConnection(jdbcUrl, username, password);
             Statement stmt = conn.createStatement()) {

            // 检查 SSL 连接状态
            ResultSet rs = stmt.executeQuery("SELECT * FROM pg_stat_ssl WHERE pid = pg_backend_pid()");
            if (rs.next()) {
                boolean isSSL = rs.getBoolean("ssl");
                String sslVersion = rs.getString("version");
                String cipher = rs.getString("cipher");

                if (isSSL) {
                    System.out.println("SSL connection established.");
                    System.out.println("SSL version: " + sslVersion);
                    System.out.println("Cipher suite: " + cipher);
                } else {
                    System.out.println("No SSL connection.");
                }
            }

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
代码说明:
  • 该代码通过 JDBC 连接人大金仓数据库,并执行 pg_stat_ssl 查询,检查当前会话是否使用了 SSL 连接。
  • pg_backend_pid() 获取当前连接的进程 ID,通过查询该进程的 SSL 状态,确认是否启用了 SSL。

4. 检查网络流量

如果你想通过更底层的方式验证连接的安全性,可以使用网络抓包工具(如 Wireshark)来捕获数据库连接的网络流量,检查是否为加密的流量。

步骤:
  1. 使用 Wireshark 或类似工具捕获从客户端到数据库服务器的流量。
  2. 如果 SSL 连接建立成功,你应该看到加密的数据包,而不是可读的明文数据包。

5. 使用 SSL 强制验证

如果你想确保 SSL 连接的安全性,你可以在 application.properties 中强制使用 sslmode=verify-full,并确保客户端验证服务器的证书:

spring.datasource.url=jdbc:kingbase8://localhost:54321/demo?sslmode=verify-full&ssl=true&sslrootcert=D:/card/server.crt

这样,如果 SSL 连接未成功建立,客户端将拒绝连接,这也是一种验证 SSL 连接是否建立的间接方式。

总结

  • 使用日志查看数据库连接过程中的 SSL 连接信息。
  • 通过 SQL 查询 pg_stat_ssl 验证数据库当前会话是否通过 SSL 连接。
  • 编写 Java 代码来捕获 SSL 会话的详细信息。
  • 使用网络抓包工具确认流量是否加密。
OpenSSL创建SSL证书
悦分享
06-03 5656
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
PostgreSQL学习之SSL证书生成配置
weixin_38700215的博客
06-26 1639
1、上面的脚本需要一个参数,指定postgresql数据库data目录,脚本进入data目录生成证书并修改postgresql.conf中ssl相关参数配置
免费openssl 生成ssl证书[ssl证书生成]
08-03
NULL 博文链接:https://nassir.iteye.com/blog/1983613
Windows和Linux设置Https(SSL)访问
最新发布
810cheng
10-03 1540
windows系统和linux系统设置Https访问
生成SSL证书
weixin_44783506的博客
02-05 5947
SSL 是一种加密协议,用于在网络通信中提供数据的保密性和完整性。它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。根据文章操作,生成以下四个文件用于存储与 SSL 相关的密钥、证书和信任的根证书
生成可信任的SSL证书
雪急飞绪博客
03-19 3239
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
SSL证书生成方法
热门推荐
fyang的专栏
02-12 8万+
一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。 需要手工生成证书的情况有: 找不到可用的证书 需要配置双向SSL,但缺少客户端证书 需要对证书作特别的定制 首先,无论是在Linux下还是在Windows下的Cygwin中,进行下面的操作前都须确认已安装OpenSSL软件包。 1. 创建根证书密钥文件(自己做CA)root.key: openssl genrsa -d
生成SSL证书简易过程
u012533481的博客
01-22 2294
SSL证书签发
域名SSL证书在线生成系统_SSL在线自签证书工具_免费SSL在线生成源码.zip
04-21
域名SSL证书在线生成系统_SSL在线自签证书工具_免费SSL在线生成源码 源码没有后台没有数据库,源码简单便捷,上传到空间内即可使用,虚拟主机,vps,服务器,甚至二级目录,都可以,方便快捷! 随时可以生成自己的...
可运营的SSL证书在线生成系统源码,附带图文搭建教程
01-12
5. 部署证书:用户将生成SSL证书下载并安装到其服务器上,完成安全配置。 三、系统架构 该可运营的SSL证书在线生成系统可能包括以下几个核心模块: 1. 用户管理模块:负责用户注册、登录、权限管理等功能。 2. ...
达梦数据库配置SSL通信加密
weixin_45699851的博客
09-19 4365
注:执行过程中,当要求输入 cakey.pem 的存储私钥时,请输入“123456”,当要求输入 pkcs.p12 的 export password 时,请务必输入小写的“changeit”。本例设置的密码是123456。生成的ca私钥是ca-key.pem,自签名证书是:ca-cert.pem,都位于C:\OpenSSL-Win64\bin目录下面。是指具备一定资质条件的数字证书签发机构,包含根密钥和根证书, 其核心功能就是通过根密钥和根证书并使用一定的算法来”签发”和”管理”数字证书
服务器SSL证书生成
俗尘某某
01-07 1432
摘要:本文详细介绍了SSL证书生成与管理流程,包括服务器端和客户端证书的签发。主要内容包括:1)使用keytool工具生成密钥库文件(.jks);2)通过OpenSSL创建CA认证证书;3)建立客户端和服务端信任证书;4)对证书进行签名处理;5)提供完整的shell脚本实现自动化生成。所有证书有效期设为10年(3650天),采用RSA算法,存储路径为/usr/local/kafka/ca/,密码统一为wsaa2024@SSL。文中还包含keytool工具的基本功能说明和常用参数解释,为SSL安全通信的实施
ssl证书生成
好记性不如烂笔头
10-10 1167
OpenSSL是一个密码学工具包,实现了(Secure Sockets Layer)SSL v2/v3和(Transport Layer Security)TSL v1网络协议及其相关的密码学标准。例子1:生成证书和密码test_ca_cert是证书:包含公钥、颁发者信息、有效期、序列号等元数据。用于建立信任关系,确保通讯双方能够确认对方的身份。test_ca_key是密钥:只有公钥和私钥的内容,必须保密。公钥用于加密和验证,私钥用于解密和签名。
生成自签ssl证书
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
SSL证书配置
m0_63622279的博客
08-07 1243
这里配置SSL 证书路径在 /etc/nginx/cert/ 目录下,等会正式启动容器时,需要将这个目录挂载到宿主机的 /docker/nginx/cert 目录,否则 Ngnix 启动时会找不到文件。这里以网站域名来命名的 ssl 配置文件,你可以根据自己的实际域名来自定义文件名,只要是 .conf 结尾就行,Nginx 都会正常加载。点击验证,如果购买的域名和服务器都在同一个账号下,系统会自动帮你配置一条记录类型为 TXT 的 DNS 解析, 并告诉你。最后记得安全组策略开放443端口。
SSL 证书配置
b_tyro的博客
05-09 5839
在客户端安装根证书实现客户端校验,可能会因为根证书过期失效或策略变更等导致访问失败或访问提示不安全,不推荐使用该方式,推荐安装根证书到系统默认信任库,并使用系统默认信任库进行客户端校验。总的来说,通常建议对于需要保护用户数据、涉及交易及其他敏感操作的网站,应选择 OV 或 EV 类型的 SSL/TLS 证书,以提供更高等级的身份验证、可靠性和信任度。如果业务用户通过Java等客户端访问服务器,由于客户端没有内置根证书和中间证书,可能需要下载根证书和中间证书,具体操作,请参见。下面是它们之间的主要区别。
项目连接DBeaver人大金仓数据库配置什么东西
04-23
<think>好的,我现在需要帮助用户配置DBeaver连接人大金仓数据库。首先,我得回想一下人大金仓数据库是基于PostgreSQL的,所以可能需要使用PostgreSQL的驱动,或者特定的金仓驱动。用户之前的问题提到需要配置DBeaver,所以应该涉及驱动设置和连接参数。 首先,我应该检查用户是否已经安装了正确的JDBC驱动。人大金仓通常使用自己的JDBC驱动,比如kingbase8.jar或者类似的版本。用户可能需要从官网下载,或者参考用户提供的引用中的驱动下载链接,比如引用[2]中的优快云链接,不过要确认链接是否有效。不过建议用户从官方渠道获取更安全。 接下来,DBeaver中配置新连接时,选择数据库类型。如果人大金仓和PostgreSQL兼容,可能可以直接选择PostgreSQL,然后修改驱动类和JDBC URL。或者,如果DBeaver有内置的Kingbase驱动支持就更方便了,但如果没有,可能需要手动添加驱动。 用户可能需要设置的关键参数包括: - 主机地址:数据库服务器的IP或域名 - 端口:默认可能是54321,或者5432(如果兼容PostgreSQL) - 数据库名称:具体的数据库名 - 用户名和密码:登录凭据 另外,JDBC URL的格式可能需要调整,比如jdbc:kingbase8://host:port/dbname这样的结构。需要确认人大金仓的JDBC URL正确格式。 还可能需要注意驱动类的名称,比如com.kingbase8.Driver,是否正确配置在DBeaver的驱动设置里。如果用户手动添加驱动,需要指定jar文件路径,并设置正确的驱动类。 用户可能在连接时遇到问题,比如驱动不匹配、网络问题或参数错误,所以需要提示常见问题解决方法,比如检查驱动版本、确认端口开放、验证用户名密码等。 另外,参考用户提供的引用[1]中的CREATE TRANSFORM语法,可能与数据库的自定义类型转换有关,但可能和当前连接配置无关,暂时不需要考虑这部分。 总结步骤应该是: 1. 下载并安装人大金仓JDBC驱动。 2. 在DBeaver中添加新的数据库连接,选择PostgreSQL或手动配置驱动。 3. 修改驱动设置,指定正确的驱动类和JDBC URL格式。 4. 填写连接参数:主机、端口、数据库名、用户、密码。 5. 测试连接,解决可能出现的问题。 需要确保每一步都清晰,用户能够跟随操作。同时,生成相关问题,比如驱动下载、参数说明、连接失败处理等。</think>### DBeaver连接人大金仓数据库配置教程 #### 一、驱动准备 1. **下载JDBC驱动** - 从[人大金仓官网](https://www.kingbase.com.cn)下载对应版本的JDBC驱动(通常为`.jar`文件,如`kingbase8-8.6.0.jar`)[^2] - 若官网下载受限,可参考第三方资源(如优快云链接,需谨慎验证安全性) #### 二、DBeaver配置步骤 1. **新建数据库连接** - 打开DBeaver → 菜单栏选择`数据库` → `新建数据库连接` - 在数据库列表中选择`PostgreSQL`(因人大金仓基于PostgreSQL开发,兼容其协议) 2. **配置驱动信息** - 点击`编辑驱动设置` → 切换到`库`标签页 - 删除默认PostgreSQL驱动 → 点击`添加文件`,上传下载好的金仓驱动`.jar`文件 - 设置驱动类名为:`com.kingbase8.Driver` - 修改JDBC URL模板为: ```plaintext jdbc:kingbase8://{host}[:{port}]/[{database}] ``` 3. **填写连接参数** | 参数 | 说明 | 示例值 | |-------------|---------------------|---------------| | 主机/IP | 数据库服务器地址 | 127.0.0.1 | | 端口 | 默认使用`54321` | 54321 | | 数据库 | 目标数据库名称 | testdb | | 用户名/密码 | 数据库账号认证信息 | 由管理员提供 | ```java // JDBC URL最终形态示例 jdbc:kingbase8://127.0.0.1:54321/testdb ``` 4. **测试连接** - 点击`测试连接`,若提示`Connected`则表示配置成功 - 若失败,检查防火墙、驱动版本、参数拼写(常见错误码参考下文) --- #### 三、高级配置(可选) 1. **SSL加密连接** 在`驱动属性`中添加参数: ```properties ssl = true sslmode = verify-full ``` 2. **时区设置** 若出现时区错误,添加: ```properties serverTimezone = Asia/Shanghai ``` --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愤怒的代码

如果您有受益,欢迎打赏博主😊

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值