步驟一：獲取客戶端證書

本文以CentOS系統配置為例，如果您使用Windows操作系統，操作步驟中的openssl命令與CentOS系統中的openssl命令配置相同。

1. 生成自簽名證書（client-ca.crt）和自簽名證書私鑰（client-ca.key）。

   openssl req -new -x509 -days 3650 -nodes -out client-ca.crt -keyout client-ca.key -subj "/CN=root-client-ca"

2. 生成客戶端證書請求文件（client.csr）和客戶端證書私鑰（client.key）。

   openssl req -new -nodes -text -out client.csr -keyout client.key -subj "/CN=<客戶端用戶名>"

   說明

   該命令中-subj參數后的CN取值請配置為客戶端訪問數據庫的用戶名。

3. 生成客戶端證書（client.crt）。

   openssl x509 -req -in client.csr -text -days 365  -CA client-ca.crt -CAkey client-ca.key -CAcreateserial  -out client.crt

# ls
client-ca.crt  client-ca.key  client-ca.srl  client.crt  client.csr  client.key

步驟二：配置客戶端CA證書

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 進入數據安全性>SSL頁面。

3. 單擊啟用客戶端CA證書。

   

4. 將自簽名證書文件（client-ca.crt）內容填寫到對話框中。然后單擊確定按鈕。

   說明

   自簽名證書文件（client-ca.crt）獲取請參見步驟一：獲取客戶端證書。請填寫-----BEGIN CERTIFICATE-----至-----END CERTIFICATE-----間的內容，包括BEGIN和END部分。

   

步驟三：客戶端連接數據庫

RDS PostgreSQL數據庫支持通過SSL遠程連接，具體請參見SSL連接RDS PostgreSQL數據庫。

步驟四：（可選）配置證書吊銷文件

如果您不再使用某一客戶端證書時，可以將客戶端證書吊銷，數據庫將拒絕此客戶端登錄。

1. 配置文件準備。

   touch /etc/pki/CA/index.txt
   echo 1000 > /etc/pki/CA/crlnumber

   說明

   如果您使用Windows系統，需要按照如下步驟操作：

   1. 在OpenSSL安裝目錄\bin目錄下創建CA文件夾。

   2. 在CA文件夾內創建index.txt文件。

   3. 命令行執行如下命令：

      echo 1000 > <OpenSSL安裝目錄>\bin\CA\crlnumber

   4. 修改C:\Program Files\Common Files\SSL\目錄下中的openssl.cnf文件。

      # 找到[ CA_default ]配置項
      
      dir = "<OpenSSL安裝目錄>\\bin\\CA"

2. 吊銷客戶端證書（client.crt）。

   openssl ca -revoke client.crt -cert client-ca.crt -keyfile client-ca.key

   說明

   該命令需要使用到自簽名證書（client-ca.crt）及自簽名證書私鑰（client-ca.key），請參見步驟一：獲取客戶端證書。

3. 生成證書吊銷文件（client.crl）。

   openssl ca -gencrl -out client.crl -cert ca.crt -keyfile ca.key

4. 進入數據安全性>SSL頁面。

5. 單擊啟用證書吊銷文件。

   

6. 將證書吊銷文件（client.crl）內容填寫到對話框中。

   

步驟五：（可選）更新客戶端證書