传输加密可以只配置ODP吗?
ODP配置传输加密,证书放在哪个文件夹?
2 个赞
根据文档库中的信息,以下是关于传输加密配置和证书存放位置的详细解答:
1. 传输加密可以只配置ODP吗?
可以。
ODP(OceanBase Database Proxy,简称 OBProxy)支持独立配置传输加密。即使其他组件(如 OBServer、liboblog 等)未配置传输加密,ODP 仍然可以通过设置 SSL/TLS 证书来实现客户端与 ODP 之间的加密通信。
依据的文档标题及段落:
-
ODP 传输加密 → 设置密钥与证书
该部分明确说明了如何通过proxyconfig.security_config表配置 ODP 的证书、公钥和私钥。
2. ODP 配置传输加密,证书放在哪个文件夹?
证书需要存放在指定路径,并通过配置指定其位置。
具体步骤如下:
(1) 证书存放路径
- 证书可以存放在任意目录,但需要确保路径正确且 ODP 进程有权限访问。
- 示例中使用的路径为
certs/目录,包含以下文件:-
ca.pem:CA 证书文件。 -
server-cert.pem:公钥证书文件。 -
server-key.pem:私钥文件。
-
(2) 配置证书路径
通过更新 proxyconfig.security_config 表来设置证书路径。示例如下:
obclient> UPDATE proxyconfig.security_config
SET CONFIG_VAL= '{"sourceType" : "FILE", "CA" : "certs/ca.pem", "publicKey" : "certs/server-cert.pem", "privateKey" : "certs/server-key.pem"}'
WHERE APP_NAME = 'obproxy' and VERSION = '1';
-
sourceType必须设为FILE,表示使用文件方式加载证书。 -
CA、publicKey和privateKey分别指定 CA 证书、公钥证书和私钥文件的路径。
(3) 验证配置是否生效
可以通过以下 SQL 查询确认配置是否成功:
obclient> SELECT CONFIG_VAL FROM proxyconfig.security_config WHERE APP_NAME = 'obproxy';
如果返回值为类似 {"sourceType":"FILE","CA":"certs/ca.pem","publicKey":"certs/server-cert.pem","privateKey":"certs/server-key.pem"},则说明配置已生效。
总结
- 传输加密可以只配置ODP,不影响其他组件的通信方式。
-
ODP 的证书存放位置没有强制要求,只需确保路径正确并更新到
proxyconfig.security_config表中即可。
如果您还有其他疑问,请随时提问!
详情请参考:
2 个赞
无法配置成功,用自签名证书,提示ERROR 8004 (HY000): SSL error
只开启 enable_client_ssl ,使用–ssl连接 显示 SSL : Not in use
用的obproxy是4.3.4.0-1版本
官方回答