证书替换

操作场景

openGauss默认配置了SSL连接所需要的安全的证书、私钥，用户如果需要替换为自己的证书、私钥则可按照此方法进行替换。

前提条件

用户需要从CA认证中心申请到正式的服务器、客户端的证书和密钥。

注意事项

openGauss目前只支持X509v3的PEM格式证书。

操作步骤

1. 准备证书、私钥。

   服务端各个配置文件名称约定：

   • 证书名称约定：server.crt。
   • 私钥名称约定：server.key。
   • 私钥密码加密文件约定：server.key.cipher、server.key.rand。

   客户端各个配置文件名称约定：

   • 证书名称约定：client.crt。
   • 私钥名称约定：client.key。
   • 私钥密码加密文件约定：client.key.cipher、client.key.rand。
   • 根证书名称约定：cacert.pem。
   • 吊销证书列表文件名称约定：sslcrl-file.crl。

2. 调用接口，执行替换。

   1. 将服务端各个配置文件server.crt、server.key、server.key.cipher、server.key.rand拷贝到对应目录下替换原有文件。
   2. 将客户端各个配置文件client.crt、client.key、client.key.cipher、client.key.rand、cacert.pem（如果需要配置吊销证书列表，则列表中包含sslcrl-file.crl）拷贝到到对应目录下替换原有文件。

3. 重启openGauss。

   gs_ctl restart -D /gaussdb/data/datanode