网络通信安全

可获得性

本特性自openGauss 1.1.0版本开始引入。

特性简介

为保护敏感数据在Internet上传输的安全性，openGauss支持通过SSL加密客户端和服务器之间的通讯。

客户价值

保证客户的客户端与服务器通讯安全。

特性描述

openGauss支持SSL协议标准。SSL（Secure Socket Layer）协议是一种安全性更高的应用层通信协议，主要用于Web安全传输，SSL包含记录层和传输层，记录层协议确定传输层数据的封装格式，传输层安全协议使用X.509认证。SSL协议利用非对称加密演算来对通信方做身份认证，之后交换对称密钥作为会谈密钥。通过SSL协议可以有效保障两个应用间通信的保密性和可靠性，使客户与服务器之间的通信不被攻击者窃听。

openGauss支持TLS 1.2协议标准。TLS 1.2协议是一种安全性更高的传输层通信协议，它包括两个协议组，TLS记录协议和TLS握手协议，每一组协议具有很多不同格式的信息。TLS协议是独立于应用协议的，高层协议可以透明地分布在TLS协议上面。通过TLS协议可保证通信双方的数据保密性和数据完整性。

特性增强

证书签名算法强度检查：对于一些强度较低的签名算法，给出告警信息，提醒客户更换包含高强度签名算法的证书。

证书超时时间检查：如果距离超期日期小于7天则给出告警信息，提醒客户端更换证书。

证书权限检查：在创建连接阶段对证书的权限进行校验。

特性约束

从CA认证中心申请到正式的服务器、客户端的证书和密钥。（假设服务器的私钥为server.key，证书为server.crt，客户端的私钥为client.key，证书为client.crt，CA根证书名称为cacert.pem。）

需要打开SSL开关，并且配置证书和连接方式。

依赖关系

OpenSSL