这是本节的多页打印视图。
点击此处打印.
返回本页常规视图.
从 MC 安全连接到 Vertica 数据库
使用 MC 监控和管理 Vertica 数据库时,MC(在浏览器中运行)作为客户端连接到 Vertica 数据库服务器。
MC 使用 JDBC 进行大部分的数据库连接
MC 使用 Java 数据库连接 (JDBC) 进行大部分的 Vertica 数据库连接,包括:
-
检索要在图表中显示的数据库信息
-
通过 JDBC 运行 SQL 查询
-
配置和更新数据库属性
-
配置数据库进行扩展监控
例外
当 MC 使用代理执行 AdminTools 任务时,MC 不使用 JDBC 连接数据库。
Vertica 软件支持 TLS
Vertica 数据库和 Vertica MC 支持的 TLS 最高版本为 1.2。本主题及其子主题介绍了如何在 MC 中配置 TLS 以通过 JDBC 连接到 Vertica 数据库。
关于证书文件格式
MC 要求上传到 MC 的所有证书和密钥文件必须采用 PEM(增强型私人电子邮件)格式。
Vertica 数据库安全性决定 MC 的连接方式
您在 MC 中为数据库配置的 TLS/SSL 安全性必须与数据库本身配置的安全性一致。
无论 Vertica 数据库在服务器模式还是相互模式下配置 TLS/SSL,都应在 MC 中为该数据库配置 TLS/SSL 以进行匹配。
要了解如何配置 Vertica 数据库,请参阅确定 Vertica 数据库的 TLS 模式。
您可以在 MC 中以服务器模式或相互模式配置 TLS/SSL。
本主题的其余部分和相关主题可互换使用术语 TLS、TLS/SSL 和 SSL。
TLS 服务器模式
当 MC 客户端连接在*服务器模式*下配置的 Vertica 数据库时:
TLS 相互模式
当 MC 客户端连接在*相互模式*下配置的 Vertica 数据库时:
有关 Vertica 如何提供 TLS/SSL 安全性支持的详细信息,请参阅 TLS 协议。
MC 管理员配置 MC 安全性
只有拥有数据库管理员或超级权限的 MC 用户才能在 MC 上配置 TLS 证书和密钥来建立数据库连接。此部分中的主题使用“MC 管理员”指代这两个角色。有关 MC 用户角色和权限的详细信息,请参阅管理控制台 (Management Console) 中的用户。
作为 MC 管理员,当首次在 MC 中为要求采用相互模式的 Vertica 数据库配置安全性时,需要为 Vertica 数据库配置以下证书:
在 MC 上配置 TLS/SSL
MC 提供了“证书 (Certificates)”向导,用于为与数据库建立的所有 JDBC 连接配置 TLS 证书,以确保连接安全。
在 MC 中,在以下三种情况下,需要为 Vertica 数据库配置 TLS 安全性:
将证书添加到 MC 供后续使用
您可能希望一次性将多个 CA 证书或客户端证书添加到 MC,以便在将数据库导入 MC 或创建 MC 用户时简化安全性配置。有关详细信息,请参阅 和 。
为成功建立连接,MC 安全性和数据库安全性必须匹配
1 - 管理控制台安全
管理控制台 (MC) 可管理多个 Vertica 群集,而且这些群集可具有不同的安全级别和类型,例如用户名和密码以及 LDAP 身份验证。您也可管理 MC 用户,他们对这些组件拥有各不相同的访问级别。
开放授权和 SSL
管理控制台 (MC) 使用 OAuth(开放授权)、安全套接字层 (SSL) 和本地加密密码的组合,来保障用户浏览器和 MC 以及 MC 和
代理。身份验证通过 MC 发生,并发生在群集内的代理之间。代理也可对作业进行身份验证和授权。
MC 配置过程会自动设置 SSL,但您必须先在您的 Linux 环境中安装 openssl 程序包。
有关详细信息,请参阅以下主题:
用户身份验证和访问权限
MC 提供 LDAP 和 MC 两种身份验证方法。每次只能使用一种方法。例如,如果您选择 LDAP,所有 MC 用户都将使用组织的 LDAP 服务器执行身份验证。
您可以在 MC 界面上通过“MC 设置 (MC Settings)”>“身份验证 (Authentication)”设置 LDAP 身份验证。
注意
MC 仅将 LDAP 数据用于身份验证目的。它不会修改 LDAP 存储库中的用户信息。
MC 身份验证方法在内部存储 MC 用户信息并加密密码。这些 MC 用户并非系统 (Linux) 用户。可以通过这些帐户访问 MC,也可通过 MC 界面访问一个或多个由 MC 管理的 Vertica 数据库。
管理控制台还设置了一些规则,规定用户从客户端浏览器登录 MC 后可以查看哪些内容。这些规则按访问级别管理,而每个访问级别都由一组角色构成。
另请参阅
2 - 确定 Vertica 数据库的 TLS 模式
通过管理控制台为 TLS 配置 Vertica 时,必须配置安全模式以满足 Vertica 数据库的配置要求:服务器模式或相互模式。
要确定现有会话的 TLS 模式,请查询 SESSIONS 系统表:
=> SELECT session_id, user_name, ssl_state FROM sessions;
session_id | user_name | ssl_state
---------------------------------+-----------+-----------
v_vmart_node0001-333611:0x1ab | dbadmin | mutual
要确定 Vertica 数据库的客户端-服务器 TLS 配置,请在 TLS_CONFIGURATIONS 系统表中查询“服务器 (Server)”:
=> SELECT name, certificate, ca_certificates, mode FROM tls_configurations WHERE name = 'server';
name | certificate | ca_certificates | mode
--------+------------------+---------------------+-----------
server | server_cert | ca_cert,ica_cert | VERIFY_CA
(1 row)
“模式 (Mode)”可以是以下几项之一,按安全性升序排列:
-
DISABLE:禁用 TLS。此参数的所有其他选项都启用 TLS。
-
ENABLE:启用 TLS。Vertica 不检查客户端证书。
-
TRY_VERIFY:如果出现以下任一情况,则建立 TLS 连接:
如果其他主机提供无效证书,则连接将使用纯文本。
-
VERIFY_CA:如果 Vertica 验证其他主机的证书来自受信任的 CA,则连接成功。如果其他主机不提供证书,则连接使用纯文本。
-
VERIFY_FULL:如果 Vertica 验证其他主机的证书来自受信任的 CA,并且证书的 cn(通用名称)或 subjectAltName 属性与其他主机的主机名或 IP 地址匹配,则连接成功。
请注意,对于客户端证书,cn 将用于用户名,因此 subjectAltName 必须与其他主机的主机名或 IP 地址匹配。
相互模式对应于 TRY_VERIFY 或更高版本,表示 Vertica 处于相互模式。在相互模式下,Vertica 将其服务器证书发送到客户端进行验证,然后使用 CA 证书(在本例中为“ca_cert”和“ica_cert”)验证客户端证书。
相反,服务器模式配置(不验证客户端证书)可能改用以下 TLS 配置:
=> SELECT name, certificate, ca_certificates, mode FROM tls_configurations WHERE name = 'server';
name | certificate | ca_certificates | mode
--------+------------------+---------------------+-----------
server | server_cert | | ENABLE
(1 row)
3 - 在 MC 上导入数据库时配置 TLS
要在 MC 上导入现有 Vertica 数据库时配置 TLS,请执行以下操作:
-
按照 将现有数据库导入到 MC 中的步骤执行操作。
-
在导入 Vertica (Import Vertica) 窗口中,选择数据库并单击使用 TLS (Use TLS) 复选框。
-
单击配置 TLS 和导入数据库 (Configure TLS and Import DB),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
4 - 在 MC 中为受监控数据库配置 TLS
此过程介绍如何为 MC 中监控的所有 JDBC 与数据库连接配置 TLS。请注意,Vertica 数据库应当已配置建立 TLS 连接所需的 TLS 证书。
-
在 MC 中,导航至数据和群集 (Databases and Clusters) >数据库名称 (DB-name) > 设置 (Settings),然后单击左侧导航栏中的安全 (Security) 选项卡。
-
在为数据库配置 TLS 连接 (Configure TLS Connection for Database) 部分,单击使用 TLS 与数据库建立连接 (Use TLS Connection to database) 旁边的下拉列表中的已启用 (Enabled)。
-
单击配置 TLS 连接 (Configure TLS Connection),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
5 - 为 MC 用户配置相互 TLS
您可以为已映射到 Vertica 数据库用户 ID 的现有 MC 用户配置 TLS。如果在相互模式下为从前不安全的 Vertica 数据库配置了 TLS,并且需要为访问该数据库的每个 MC 用户配置客户端证书和私钥,则采取此操作。
-
在 MC 中,导航至 MC 设置 (MC Settings),单击用户管理 (User Management) 选项卡。
-
从列表中选择一个用户,单击编辑 (Edit)。
-
在添加权限 (Add permissions) 窗口中:
-
选择要编辑此 MC 用户的安全权限的数据库。
-
MC 显示此 MC 用户当前映射到的数据库用户名。
-
在限制访问 (Restrict Access) 下拉菜单中,选择 Admin、Associate、IT 或 User 为此用户指定权限级别。
-
在使用 TLS 连接 (Use TLS Connection) 下拉菜单中,选择是 (Yes)。
-
单击为用户配置 TLS (Configure TLS for user),启动并完成证书向导。
MC 证书向导
MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书,为 MC 配置客户端证书,从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时,该向导会显示其他选项和详细信息。
-
该向导的第一个屏幕将提供有用的概述信息。请仔细阅读,然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。
-
在配置 CA 证书 (Configure CA Certificates) 屏幕中,配置要添加到 MC 的 CA 证书(公钥)。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间,MC 使用此受信任的证书来验证服务器的身份。
完成以下选项之一:
-
添加完 CA 证书后,单击 下一步 (Next)。
-
配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。
-
如果数据库配置为服务器模式,则无需客户端证书或密钥。
-
如果数据库配置为相互模式 (Mutual Mode):
-
填写刚才选中的客户端证书和私钥选项的详细信息字段,然后单击 下一步 (Next)。
-
使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口,您可以配置刚才输入的客户端证书-密钥对,以供多个 MC 用户使用。
注意
您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。
-
单击**查看 (Review)。**该向导会显示一个查看窗口,其中包含已配置的 TLS 选项。
-
选择以下选项之一:
6 - 更新 MC 连接的 TLS 安全
维护 MC JDBC 与 Vertica 数据库连接的 TLS 安全是一个持续的过程。首先,必须以 MC 管理员的身份配置适当的证书和密钥。随着时间的推移,证书会到期或失效。为维护 MC 的 TLS 安全,必须配置新证书来替换所有即将到期的证书。
如果任何保护 MC 与 Vertica 数据库连接的证书发生更改或到期,MC 管理员必须在 MC 上更新该数据库的 TLS 配置,确保未到期的证书可用,以便成功建立连接。
MC 使用“使用我 (use me)”位标记给定连接的当前证书。此位仅针对当前证书设置。当为给定连接配置新证书时,新证书将标记为当前证书,而上一个证书(尽管仍出现在信任库或密钥库中)则不再标记为当前证书。
7 - 在 MC 中为数据库启用或禁用 TLS
要在 MC 中为 JDBC 与 Vertica 数据库之间的所有连接启用 TLS,请配置适用于该连接的证书和密钥。请参阅:
禁用 TLS 连接
在某些情况下,身为系统管理员,可能需要在 MC 中为 JDBC 与 Vertica 数据库之间的连接禁用 TLS。示例如下:
要在连接 Vertica 数据库时禁用 TLS,请执行以下操作:
-
在 MC 中,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings)。
-
单击左侧导航栏中的安全 (Security) 选项卡。
-
在使用 TLS 连接数据库 (Use TLS Connection to database) 下拉菜单中,选择已禁用 (Disabled)。
注意
要在禁用 TLS 后重新启用 TLS 建立数据库连接,必须重新配置必要的证书。
为数据库禁用 TLS 会移除指示 MC 对所有用户使用给定数据库的当前证书和密钥的配置。如果是相互模式 TLS 连接且每个用户都为该数据库配置了单独的客户端证书和私钥,要重新启用 TLS,必须为每个用户单独重新配置该数据库的证书和密钥。
重新启用已禁用的 TLS 连接
-
在 MC 中,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings)。
-
单击左侧导航栏中的安全 (Security) 选项卡。
-
在使用 TLS 连接数据库 (Use TLS Connection to database) 下拉菜单中,选择已启用 (Enabled)。
-
MC 显示配置 MC 使用安全连接查询 Vertica 数据库或修改现有配置 (Configure MC to use secured connection to query Vertica database or modify existing configuration)。
-
要重新启用 TLS,请单击配置 TLS 连接 (Configure TLS Connection) 以启动证书向导。
-
完成
证书向导。
8 - 在 MC 中添加 TLS 证书
您可以将一个或多个证书添加到 MC 供后续使用,而无需立即将证书与数据库相关联。提前添加证书可以更轻松地为数据库或者一个或多个 MC 用户配置安全,因为只需从列表中选择 CA 或客户端证书,而不必在配置步骤中将其添加到 MC。
在 MC 中添加 CA 证书
在 MC 中添加一个或多个 CA 证书:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在“管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection)”下,单击添加新 CA 证书 (Add New CA Certificate)。
-
在“添加新 CA 证书建立 TLS 连接 (Add new CA certificates for TLS connection)”窗口中,输入证书的别名,以便日后参考。
-
单击浏览 (Browse) 找到要添加的证书文件。MC 将打开“资源管理器 (Explorer)”窗口。
-
选择要上传的文件,然后单击打开 (Open)。
注意
确保证书文件未过期且不受密码保护。
-
要仅添加这一个证书,请单击添加新 CA (Add New CA)。MC 将证书添加到其列表中。
-
要添加其他 CA 证书,请单击添加更多 CA 证书 (Add More CA Certificates)。MC 将证书添加到列表中,清除字段,以便输入下一个 CA 证书。
-
重复该过程,直到输入要添加的最后一个证书。
-
单击添加新 CA (Add New CA),将列表中的所有 CA 证书添加到 MC:
在 MC 中添加客户端证书和密钥
您可以将一个或多个客户端证书和私钥对添加到 MC。在每一对中,可以添加单个证书、预先存在的证书链或 MC 用来创建新证书链的一系列客户端证书。
要将一个或多个客户端证书及其私钥文件添加到 MC 供日后使用,请执行以下操作:
-
导航至首页 (Home) > MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在“管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection)”下,单击添加新客户端证书 (Add New Client Certificate)。MC 显示“添加新客户端证书和私钥建立 TLS 连接 (Add new Client Certificate and Private Key for TLS Connection)”屏幕。
注意
将客户端证书添加到 MC 时,始终将其与私钥文件一起添加。客户端证书及其密钥是一个密钥对 (key pair)。
-
单击以下文件上传选项之一:
- 上传客户端证书和私钥建立 TLS 连接 (Upload Client Certificate and Private Key for TLS Connection)。使用此选项,您可以将证书和密钥粘贴到浏览器字段中。MC 通过网络上的 https 连接将证书和密钥从浏览器发布到 MC 服务器,并使用 TLS/SSL 进行保护。
- 在 MC 主机上手动上传客户端证书和私钥并提供路径 (Manually upload Client Certificate and Private Key on MC host and provide paths)。通过 https 网络连接将证书从浏览器发送到 MC 服务器可能不是您的首选项。如果是这样,可以使用此选项指定手动上传客户端证书和私钥文件的 MC 服务器主机上的路径。MC 浏览器的 URL 显示 MC 主机的 IP 地址。使用此选项,必须手动处理证书和密钥文件到服务器的传输。
-
要使用任一输入选项提供单个客户端证书和私钥,请执行以下操作:
-
要上传多个证书和私钥并创建证书链,请执行以下操作:
-
输入密钥对的别名。
-
浏览并选择私钥文件或提供路径。
-
浏览并选择客户端证书文件或提供路径。
-
单击将证书添加到链 (Add Certificate to Chain)(或添加更多证书路径 (Add More Certificate Paths))。
-
重复该过程,直到为此证书链添加最后一个证书和密钥。
-
单击添加新客户端证书 (Add New Client Certificate)。
-
MC 将生成的证书链添加到其列表中。
添加新证书建立浏览器连接
您可以查看连接浏览器与 MC 服务器的现有 TLS 证书,也可以添加新证书替换现有证书。
要查看或替换 MC 用于连接用户浏览器与 MC 服务器的 HTTPS 连接的当前 SSL/TLS 证书,请执行以下操作:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
顶部窗格显示连接浏览器与 MC 服务器的当前证书,包括证书的到期日期:
-
要替换当前证书,请单击上传新 SSL 证书 (Upload a new SSL certificate) 字段旁边的浏览 (Browse)。
MC 将打开资源管理器窗口。
-
选择要上传的证书文件,然后单击打开 (Open)。证书文件必须采用 PEM(增强型私人电子邮件消息)格式。
MC 使用新证书替换之前的证书。
9 - 在 MC 中管理 TLS 证书
MC 具有安全列表,其中包含您上传到 MC 的所有 CA 证书、客户端证书或证书链及相应的密钥文件。
要管理已上传到 MC 的证书,请导航至首页 (Home) > MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。此屏幕可控制所有 MC 的 TLS 安全设置。
顶部窗格显示有关用于保护用户浏览器与 MC 服务器连接的当前 TLS 证书的信息。您可以添加新证书替换当前证书。请参阅。
中间窗格和下部窗格用于在 MC 中添加及移除 CA 和客户端证书。
您可以在 MC 中执行以下任务来管理 TLS 证书和密钥。
对于特定数据库的安全设置,在 MC 中打开数据库,导航至主页 (Home) > 数据库和群集 (Databases and Clusters) > 数据库名称 (DatabaseName) > 设置 (Settings),然后单击左侧导航栏中的安全 (Security) 选项卡。
10 - 在 MC 中更新 TLS 证书
当 TLS 证书即将到期、已经到期或出于其他原因无法使用时,需要对其进行更新。
以下是更新证书的方法:
-
在 MC 中添加新证书,替换到期证书或无效证书。请参阅在 MC 中添加 TLS 证书。
-
取消旧证书与所有数据库和用户的关联后,可以将其从 MC 中移除。请参阅从 MC 中移除 TLS 证书。
11 - 从 MC 中移除 TLS 证书
在某些情况下,在 MC 中为数据库禁用 TLS 可能较为适合。为数据库禁用 TLS 将取消与针对该数据库配置的所有证书的关联。有关详细信息,请参阅在 MC 中为数据库启用或禁用 TLS。
在 MC 中取消证书与数据库的关联
从 MC 中移除证书之前,必须确保证书未关联任何数据库(被任何数据库使用)。MC 管理员可以使用以下任一方法在 MC 中取消证书与数据库的关联:
在 MC 中为数据库配置新证书
当出于特定目的在 MC 中为数据库配置新证书时,新证书将替换旧证书。现在新配置的证书将与数据库关联,旧证书不再关联,可予以移除。
导航至数据库和群集 (Databases and Clusters) > 数据库名称 (DbName) > 数据库设置 (Database Settings) > 配置 TLS (Configure TLS)。
有关详细信息,请参阅 在 MC 中为受监控数据库配置 TLS
移除数据库的 TLS 配置
您可以从 MC 中移除一个或多个 TLS 证书,但需确保这些证书未与数据库关联。要移除证书,请执行以下操作:
-
从 MC 主页,导航至 MC 设置 (MC Settings) > SSL/TLS 证书 (SSL/TLS Certificates)。
-
在管理数据库连接的 TLS 证书 (Manage TLS Certificates for Database Connection) 部分,找到要移除的一个或多个 CA 或客户端证书对应的行。此示例仅显示CA 证书 (CA Certificates) 窗格:
-
如果该证书的关联的数据库 (Database associated) 字段为空,可以单击选择要移除的证书,然后单击移除选定项 (Remove Selected)。在上图中,CA_cert_02 和 CA_cert_01 为选定要移除的项。
注意
如果移除证书链中的某个客户端证书,MC 将移除整个证书链。
12 - MC 图标显示数据库 TLS 状态
MC 在“数据库和群集/基础设施 (Database and Cluster/Infrastructure)”视图中的数据库左上方显示图标,展示数据库的当前 TLS 状态。数据库名称左侧的痕迹导航中也会显示同样的图标,以显示数据库的当前 TLS 安全状态:
13 - 为 TLS 批量配置 MC 用户组
身为 MC 管理员,您可以创建多个 MC 用户并将它们全部映射到 Vertica 数据库服务器端的同一数据库用户 ID。创建用户时,在 MC 中映射用户。有关详细信息,请参阅创建 MC 用户。
然后,可以在单个批量配置进程中配置映射到单个 Vertica 数据库用户 ID 的所有 MC 用户,以便在 MC 中使用相同的客户端证书或证书链和私钥:
-
导航至MC 主页 (MC Home) >数据库和群集 (Databases and Clusters) >数据库名称 (DbName) > 设置 (Settings) > 安全 (Security)。
-
单击配置 TLS 连接 (Configure TLS Connection) 以启动 MC 证书向导。
-
完成向导中的步骤 1 到 3,配置 CA 证书以及要用于多个 MC 用户的客户端证书或证书链和密钥。有关详细信息,请参阅
完成 MC 证书向导。
-
完成这些步骤后,向导会在左侧向导窗格中显示将 TLS 配置应用于映射到数据库的 MC 用户 (Apply TLS configuration to MC users mapped to database) 页面作为步骤 4。
-
要将刚刚配置的同一 CA 证书、客户端证书和密钥应用于一个或多个其他用户,请单击这些用户对应的复选框。
注意
选择的所有用户必须映射到同一 Vertica 数据库用户 ID。
-
要完成配置,请单击“查看 (Review)”。MC 将显示确认屏幕:
-
要为选定的 MC 用户配置此数据库 CA 证书和此客户端证书/密钥对,请单击为 DB 配置 TLS (Configure TLS for DB)。
-
MC 确认操作成功。单击关闭 (Close) 关闭证书向导。