为 MC 用户配置相互 TLS

您可以为已映射到 Vertica 数据库用户 ID 的现有 MC 用户配置 TLS。如果在相互模式下为从前不安全的 Vertica 数据库配置了 TLS，并且需要为访问该数据库的每个 MC 用户配置客户端证书和私钥，则采取此操作。

1. 在 MC 中，导航至 MC 设置 (MC Settings)，单击用户管理 (User Management) 选项卡。

2. 从列表中选择一个用户，单击编辑 (Edit)。

3. 在添加权限 (Add permissions) 窗口中：

   • 选择要编辑此 MC 用户的安全权限的数据库。

   • MC 显示此 MC 用户当前映射到的数据库用户名。

   • 在限制访问 (Restrict Access) 下拉菜单中，选择 Admin、Associate、IT 或 User 为此用户指定权限级别。

   • 在使用 TLS 连接 (Use TLS Connection) 下拉菜单中，选择是 (Yes)。

   • 单击为用户配置 TLS (Configure TLS for user)，启动并完成证书向导。

MC 证书向导

MC 证书向导允许您为 Vertica 数据库服务器配置 CA 证书，为 MC 配置客户端证书，从而允许通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行安全 TLS 通信。每个屏幕都会显示多个选项。选中某个选项时，该向导会显示其他选项和详细信息。

1. 该向导的第一个屏幕将提供有用的概述信息。请仔细阅读，然后单击配置 TLS 证书 (Configure TLS Certificates) 以继续。

2. 在配置 CA 证书 (Configure CA Certificates) 屏幕中，配置要添加到 MC 的 CA 证书（公钥）。在通过 MC 和 Vertica 数据库服务器之间的 JDBC 连接进行 TLS 通信期间，MC 使用此受信任的证书来验证服务器的身份。

   完成以下选项之一：

   • 上传新的 CA 证书 (Upload a new CA certificate)：浏览并选择证书文件，且输入此证书的别名

     • 要添加另一个 CA 证书，请单击添加更多 CA 证书 (Add More CA Certificates)。

     • 继续添加其他 CA 证书，直到完成为止。

   • 从先前上传的证书中选择证书别名 (Choose a certificate alias from previously uploaded certificates)：选择您希望为当前数据库配置的先前上传的 CA 证书别名。

3. 添加完 CA 证书后，单击 下一步 (Next)。

4. 配置客户端证书 (Configure Client Certificate) 屏幕显示复选框 为相互模式 TLS 连接添加客户端证书和私钥 (Add Client Certificate and Private Key for Mutual Mode TLS Connection)。

5. 如果数据库配置为服务器模式，则无需客户端证书或密钥。

   • 使 添加客户端证书 (Add Client Certificate) 复选框保留“取消选中 (Uncheck)”状态，并单击查看 (Review)。

   • 跳到步骤 10。

6. 如果数据库配置为相互模式 (Mutual Mode)：

   • 单击添加客户端证书 (Add Client Certificate) 复选框。

   • 选择以下选项之一。

     • 在 MC 中上传客户端证书和私钥文件 (Upload Client Certificate and Private Key files on MC)（如上所示。）MC 使用其从浏览器到 MC 主机的 https 连接来上传文件。）

       • 要添加其他客户端证书并创建证书链，请单击将证书添加到链 (Add Certificate to Chain)。MC 重新初始化“客户端证书 (Client Certificate)”文件字段，以便可以添加另一个证书。添加最后一个证书路径之后，单击下一步 (Next)。

       • 要上传现有证书链文件，请单击“上传客户端证书/证书链 (Upload Client Certificate/Certificate chain)”文件字段旁边的 浏览 (Browse)，选择该文件，然后单击打开 (Open)。

     • 在 MC 主机上手动上传客户端证书和私钥并提供路径 (Manually upload client Certificate and Private Key on MC host and provide paths) 避免通过 https 连接发送加密的证书和私钥文件。要为客户端证书添加其他路径并创建证书链，请单击添加更多证书路径 (Add More Certificate Paths)。MC 将对路径字段重新初始化，以便能够添加另一个路径。添加最后一个证书路径之后，单击下一步 (Next)。

     • 选择先前上传的密钥对的客户端证书和私钥别名，以供此数据库使用。（使用现有的证书和密钥文件。）

7. 填写刚才选中的客户端证书和私钥选项的详细信息字段，然后单击 下一步 (Next)。

8. 使用“TLS 配置应用于 MC 用户映射到的数据库 (Apply TLS configuration to MC users mapped to database)”窗口，您可以配置刚才输入的客户端证书-密钥对，以供多个 MC 用户使用。

   注意

   您选择的所有 MC 用户均必须映射到 Vertica 数据库服务器上的相同用户 ID。

9. 单击**查看 (Review)。**该向导会显示一个查看窗口，其中包含已配置的 TLS 选项。

10. 选择以下选项之一：

    • 要修改 TLS 选项，请单击返回 (Back)。

    • 要确认选择：

      • 如果要导入数据库，请单击配置 TLS 并导入数据库 (Configure TLS and Import DB)。

      • 如果正在为已导入 MC 的数据库配置 TLS，请单击为 DB 配置 TLS (Configure TLS for DB)。

      • 单击关闭 (Close) 以完成向导。

    • 要关闭向导而不导入数据库且不设置 TLS 配置，请单击取消 (Cancel)。