问题[ssl](dba)

有任何 [SingleStore] 用户吗？

为了为 Kafka 管道启用 SSL 加密（仅），我们创建了如下管道：

CREATE PIPELINE `kafka_ssl`
AS LOAD DATA KAFKA '<kafka-host>:<kafka-port>/test'
CONFIG '{"security.protocol": "ssl"
"ssl.ca.location": "<path-to-the-ca-certificate>"}''
INTO table <t>;

来自https://docs.memsql.com/v7.0/concepts/pipelines/kafka-kerberos-ssl/ 22

请注意，我们不是在寻找客户端身份验证（双向 TLS 连接）。这需要我们手动将 CA 证书复制到 memsql 节点并提供该路径。这适用于独立的 Kafka 集群。

如果我们使用 AWS MSK，推荐的方法是什么？

以下文档指向 MSK 客户端的 SSL 加密客户端配置。他们使用客户端信任库位置作为属性，该属性不是 memsql 管道配置 json 的标识属性

https://docs.aws.amazon.com/msk/latest/developerguide/msk-encryption.html 10 https://docs.aws.amazon.com/msk/latest/developerguide/msk-authentication.html

在 SingleStore 论坛中查看其他有相同问题的人。无法创建从 Singlestore in a box 到 AWS MSK 的管道。

我正在尝试找到将新 SSL 证书绑定到 Always On 可用性组 3 节点集群的侵入性最小的方法。应用新证书后，将出现一条消息，指出需要重新启动 SQL Server 才能使更改生效。

对组进行故障转移是否足以绑定新证书？还是必须从群集管理器重新启动 SQL Server？

谢谢你的帮助。

尝试几种方法为 PostgreSQL 实现 LDAPS 时运气不佳。

pg_hba.conf

hostssl all +test_ldap 0.0.0.0/0 ldap ldapserver=dc2.ad.foobar.com ldapport=636 ldapscheme=ldaps ldaptls=0 ldapbinddn="CN=ldap,OU=Helpers,OU=Foobar,DC=ad,DC=foobar,DC=com" ldapbindpasswd=*** ldapsearchattribute=mail ldapbasedn="OU=Users,OU=Foobar,DC=ad,DC=foobar,DC=com"

经过研究，我发现以下参数要更改。

postgresql.conf

ssl = on
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'

问题是我如何获得.crt和.key从.pem我已经拥有的证书（由 LDAP 团队共享）。除了这些之外，还需要做些什么才能使其与 LD​​APS (SSL/TLS) 一起工作。

很确定这是个愚蠢的问题，但仍然很乐意得到答案或一些解释或指向文档。

现在我正在使用证书配置与 PostgreSQL 服务器的 SSL 连接。不幸的是，由于我在连接和安全方面不太擅长，我意识到完全确定服务器应该检查谁在连接它server [check] <-- client，但实际上 - 客户端检查它是否连接到正确的服务器server <-- [check] client。

为什么会这样？为什么不反过来，为什么不双向呢？

感谢您的回复！

我有一个 SQL Server 2017 实例，我已将其配置为侦听多个端口 1433 和 1234。我想知道是否有可能让一个端口 (1234)只接受安全连接，而默认端口同时接受这两者？

我已经设置了实例，验证了两个端口都在工作，并安装了证书，但似乎我唯一的选择是在配置管理器中为整个实例强制使用 SSL。我错过了什么吗？感谢所有帮助。

我使用自签名证书启用了启用了强制加密的 SSL。

然后我设置了自动监控来检测不安全的连接（我知道这似乎是多余的，但请耐心等待），使用以下 T-SQL 查询：

SELECT CONCAT('Not secured connection(s) detected of '
, ISNULL(QUOTENAME(COALESCE(ses.original_login_name, ses.nt_user_name, ses.login_name)), 'an unknown login')
, ' from ', ISNULL(QUOTENAME(client_net_address), 'an unknown address')
, ' ', QUOTENAME(ISNULL(ses.host_name, 'unknown host'), '(')
, ', ', ISNULL(QUOTENAME(ses.program_name), 'unknown program')
, ', to ', ISNULL(QUOTENAME(DB_NAME(ses.database_id)), 'an unknown database')
, ', Session(s): ', COUNT(ses.session_id)
), COUNT(con.connection_id) AS NumberOfConnections
FROM sys.dm_exec_connections AS con
LEFT JOIN sys.dm_exec_sessions AS ses
ON ses.session_id IN (con.session_id, con.most_recent_session_id)
WHERE encrypt_option = 'FALSE'
AND net_transport = 'TCP'
AND client_net_address NOT LIKE '<%'
GROUP BY COALESCE(ses.original_login_name, ses.nt_user_name, ses.login_name)
, client_net_address, ses.host_name, ses.program_name, ses.database_id

后来，我开始收到此查询产生的警报，输出如下所示：

Not secured connection(s) detected of an unknown login from [x.x.x.x] (unknown host), unknown program, to an unknown database: 0

（x.x.x.x替换来自我们客户网络之一的实际 IP 地址）

这意味着我们正在检测sys.dm_exec_connections没有相应会话 (in ) 的 TCP 连接 (in sys.dm_exec_sessions)。

根据我在 Microsoft 文档中发现的内容，这些场景可能会作为可用性组、数据库镜像或服务代理架构的一部分发生......但我们没有在我们的实例中使用任何这些！

这不应该发生......有谁知道如何解释这一点？这可能是由于某种端口扫描仪而发生的吗？

谢谢！

版本详情：

Microsoft SQL Server 2019 [Enterprise] (RTM-CU4) (KB4548597) - 15.0.4033.1 (X64)
    Mar 14 2020 16:10:35 
    Copyright (C) 2019 Microsoft Corporation
    Enterprise Edition: Core-based Licensing (64-bit) on Windows Server 2016 Datacenter 10.0 <X64> (Build 14393: ) (Hypervisor)

我正在尝试在 MongoDB 社区版中配置 SSL 证书。

我的 mongod.conf 的配置

net:
  port: 27017
  bindIp: 0.0.0.0  # Enter 0.0.0.0,:: to bind to all IPv4 and IPv6 
 addresses or, alternatively, use the net.bindIpAll setting.
  ssl:
    mode: requireSSL
    PEMKeyFile: /etc/ssl/mongodb.pem
    CAFile: /etc/ssl/ca_bundle.crt
    allowConnectionsWithoutCertificates: false
    allowInvalidHostnames: false
    disabledProtocols: TLS1_0,TLS1_1

在这里，我正在做的是将 certificate.crt 和 private.key 转换为 mongodb.pem 并将 ca_bundle.crt 作为 CAFile 在 mongod.conf 中传递

我正在尝试使用命令与服务器连接

mongo --ssl --sslPEMKeyFile /etc/ssl/mongodb.pem --sslCAFile /etc/ssl/ca_bundle.crt --host myapptest.tk

得到像这样的错误

MongoDB shell 版 v4.0.8

连接到：mongodb://myapptest.tk:27017/?gssapiServiceName=mongodb

2019-04-04T19:57:40.401+0000 E NETWORK [js] SSL 对等证书验证失败：无法获取本地颁发者证书

2019-04-04T19:57:40.402+0000 E QUERY [js] 错误：无法连接到服务器 myapptest.tk:27017，连接尝试失败：SSLHandshakeFailed：SSL 对等证书验证失败：无法获取本地颁发者证书：

连接@src/mongo/shell/mongo.js:343:13

@(连接):2:6

异常：连接失败

我想知道，如何创建 root_CA.pem 文件并将其作为 --sslCAFile 传递？

在哪里可以找到 MongoDB 中的 ca.pem 文件？

有人可以建议我如何在 MongoDB 中配置 SSL 证书吗？

我正在玩与测试 postgres 服务器的 SSL 连接，我发现尽管证书无效，我仍然可以启动 SSL 连接。（有效期已过）

我在 pg_hba.conf 中强制执行 SSL 连接

## pg_hba.conf - SSL TESTING
hostssl         mike            mike            192.168.56.106/32       md5

SSL 证书已过期：

$ openssl x509 -in server.crt -noout -dates
notBefore=Feb 22 18:29:39 2019 GMT
notAfter=Feb 23 18:29:39 2019 GMT

仍然可以通过 SSL 连接：

postgres:/db/postgresql/10/data>psql "sslmode=require host=192.168.56.105 dbname=mike user=mike"
Password: 
psql (10.7)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type "help" for help.
mike=> 

为什么我还能连接？

我希望出现连接被拒绝的情况，因为证书无效 - 我错过了什么吗？任何帮助表示赞赏:)

我刚刚在装有 MariaDB v10.1 的 CentOS 7 系统上安装了基于 Percona Xtrabackup 的 MariaDB 备份工具 Mariabackup。然而，当我尝试使用这个工具进行测试时，它立即失败并抱怨一个未知的参数。

我尝试将此命令作为完整备份运行，作为使用--xbstream选项通过 gzip 进行管道传输的完整备份，以及作为使用 gzip 和 OpenSSL 的完整备份运行。我还尝试了使用 gzip 的 GPG。

以下是我尝试过的命令：

使用 gzip/openssl：

mariabackup --user=root --password= `cat /etc/psa/.psa.shadow ` --backup     --stream=xbstream | gzip | openssl  enc -aes-256-cbc -k password123 >     backup.xb.gz.enc

使用 gzip/gpg：

mariabackup --user=root --password= `cat /etc/psa/.psa.shadow ` --backup --stream=xbstream | gzip | gpg -c --passphrase password123 --batch --yes -o backup.xb.gzip.gpg

使用 gzip：

mariabackup --user=root --password= `cat /etc/psa/.psa.shadow ` --backup --stream=xbstream | gzip > backup.xb.gz

直截了当：

mariabackup --user=root --password= `cat /etc/psa/.psa.shadow ` --backup --target-dir=/root/sql_dumps/

这是输出：

信息：使用唯一的选项前缀“备份”很容易出错，将来可能会中断。请改用全名backup_encrypted。

mariabackup: Error: unknown argument: '$AES-128-CBC$GzzuTl0rBKRyCngfmWSypg==$JAmMp9hcbIQ/MTrzqCQ8eWIFQGixpUjZ7ESQqNLfuJM='

我知道 rethinkdb 指南使用自签名证书作为示例。如果我想使用我购买的真实证书，如何将捆绑包添加到服务器 conf？我将购买的证书和密钥添加到配置中：

driver-tls-key=/etc/ssl/star.cert.key
driver-tls-cert=/etc/ssl/star.cert.crt

Openssl s_client 给了我以下内容

Verify return code: 21 (unable to verify the first certificate)

以此作为证书链：

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.s0nr.co
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.s0nr.co
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.s0nr.co
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

我怎样才能正确使用这个证书？