ApsaraDB RDS：配置用戶端CA認證

步驟一：擷取用戶端認證

本文以CentOS系統配置為例，如果您使用Windows作業系統，操作步驟中的openssl命令與CentOS系統中的openssl命令配置相同。

1. 產生自我簽署憑證（client-ca.crt）和自我簽署憑證私密金鑰（client-ca.key）。

   openssl req -new -x509 -days 3650 -nodes -out client-ca.crt -keyout client-ca.key -subj "/CN=root-client-ca"

2. 產生用戶端認證請求檔案（client.csr）和用戶端認證私密金鑰（client.key）。

   openssl req -new -nodes -text -out client.csr -keyout client.key -subj "/CN=<用戶端使用者名稱>"

   說明

   該命令中-subj參數後的CN取值請配置為用戶端訪問資料庫的使用者名稱。

3. 產生用戶端認證（client.crt）。

   openssl x509 -req -in client.csr -text -days 365  -CA client-ca.crt -CAkey client-ca.key -CAcreateserial  -out client.crt

# ls
client-ca.crt  client-ca.key  client-ca.srl  client.crt  client.csr  client.key

步驟二：配置用戶端CA認證

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 進入資料安全性>SSL頁面。

3. 單擊啟用用戶端CA認證。

   

4. 將自我簽署憑證檔案（client-ca.crt）內容填寫到對話方塊中。然後單擊確定按鈕。

   說明

   自我簽署憑證檔案（client-ca.crt）擷取請參見步驟一：擷取用戶端認證。請填寫-----BEGIN CERTIFICATE-----至-----END CERTIFICATE-----間的內容，包括BEGIN和END部分。

   

步驟三：用戶端串連資料庫

RDS PostgreSQL資料庫支援通過SSL遠端連線，具體請參見使用SSL鏈路串連RDS PostgreSQL資料庫。

步驟四：（可選）配置憑證撤銷檔案

如果您不再使用某一用戶端認證時，可以將用戶端憑證撤銷，資料庫將拒絕此用戶端登入。

1. 設定檔準備。

   touch /etc/pki/CA/index.txt
   echo 1000 > /etc/pki/CA/crlnumber

   說明

   如果您使用Windows系統，需要按照如下步驟操作：

   1. 在OpenSSL安裝目錄\bin目錄下建立CA檔案夾。

   2. 在CA檔案夾內建立index.txt檔案。

   3. 命令列執行如下命令：

      echo 1000 > <OpenSSL安裝目錄>\bin\CA\crlnumber

   4. 修改C:\Program Files\Common Files\SSL\目錄下中的openssl.cnf檔案。

      # 找到[ CA_default ]配置項
      
      dir = "<OpenSSL安裝目錄>\\bin\\CA"

2. 吊銷用戶端認證（client.crt）。

   openssl ca -revoke client.crt -cert client-ca.crt -keyfile client-ca.key

   說明

   該命令需要使用到自我簽署憑證（client-ca.crt）及自我簽署憑證私密金鑰（client-ca.key），請參見步驟一：擷取用戶端認證。

3. 產生憑證撤銷檔案（client.crl）。

   openssl ca -gencrl -out client.crl -cert ca.crt -keyfile ca.key

4. 進入資料安全性>SSL頁面。

5. 單擊啟用憑證撤銷檔案。

   

6. 將憑證撤銷檔案（client.crl）內容填寫到對話方塊中。

   

步驟五：（可選）更新用戶端認證