CREATE TLS CONFIGURATION
创建 TLS CONFIGURATION 对象。有关现有 TLS CONFIGURATION 对象的信息,请查询 TLS_CONFIGURATIONS。
要修改现有的 TLS CONFIGURATION 对象,请参阅 ALTER TLS CONFIGURATION。
语法
CREATE TLS CONFIGURATION tls_config_name {
[ CERTIFICATE { NULL | cert_name } ]
[ CA CERTIFICATES ca_cert_name [,...] ]
[ CIPHER SUITES { '' | 'openssl_cipher [,...]' } ]
[ TLSMODE 'tlsmode' ]
}
参数
-
tls_config_name - TLS CONFIGURATION 对象的名称。
-
cert_name - 使用 CREATE CERTIFICATE 创建的证书。
-
ca_cert_name - 使用 CREATE CERTIFICATE 创建的 CA 证书。
-
openssl_cipher - 要使用的密码套件的逗号分隔列表,而不是默认的密码套件集。为该参数提供空字符串会清除备用密码套件列表,并指示指定的 TLS CONFIGURATION 使用默认密码套件集。
要查看启用的密码套件,请使用 LIST_ENABLED_CIPHERS。
- tlsmode
- Vertica 如何建立 TLS 连接以及处理客户端证书(为以下几项之一,按安全性升序排列):
-
DISABLE:禁用 TLS。此参数的所有其他选项都启用 TLS。 -
ENABLE:启用 TLS。Vertica 不检查客户端证书。 -
TRY_VERIFY:如果出现以下任一情况,则建立 TLS 连接:-
另一台主机出示有效证书
-
另一台主机不提供证书
如果其他主机提供无效证书,则连接将使用纯文本。
-
-
VERIFY_CA:如果 Vertica 验证其他主机的证书来自受信任的 CA,则连接成功。如果其他主机不提供证书,则连接使用纯文本。 -
VERIFY_FULL:如果 Vertica 验证其他主机的证书来自受信任的 CA,并且证书的cn(通用名称)或subjectAltName属性与其他主机的主机名或 IP 地址匹配,则连接成功。请注意,对于客户端证书,
cn将用于用户名,因此subjectAltName必须与其他主机的主机名或 IP 地址匹配。
VERIFY_FULL不受客户端-服务器 TLS(serverTLS CONFIGURATION 上下文)支持,且行为与VERIFY_CA相同。 -