树叶云带你简单聊聊OceanBase里CREATE KEYSTORE到底怎么用，别太复杂了

树叶云带你简单聊聊OceanBase里CREATE KEYSTORE到底怎么用 主要参考自OceanBase官方文档中关于透明加密和密钥管理部分）

好，咱们今天就用大白话聊聊OceanBase数据库里的CREATE KEYSTORE这个命令是干啥的，以及怎么用它，你不用把它想得太神秘，它其实就是数据库里的一个“保险柜管理员”，专门负责保管最重要的东西——密钥。

为啥需要这个“保险柜管理员”？

想象一下，你的数据库里存着很多重要的信息，比如用户的身份证号、手机号、银行卡信息等等，如果有人直接把数据库文件偷走了，那这些隐私数据不就全泄露了吗？为了防止这种情况，一个很常见的办法就是对数据进行加密，就算坏人拿到了数据文件，没有密钥他也看不懂,数据还是安全的。

但是问题来了，加密用的这个密钥本身放哪儿呢？你不能把它随便写在一个文本文件里，跟数据库放一块儿，那不就等于把钥匙挂在保险柜上吗？太不安全了。

这时候，CREATE KEYSTORE的用武之地就来了，它的作用就是创建一个安全的、受保护的“保险柜”（也就是密钥库），专门用来存放这些至关重要的加密密钥，这个保险柜本身有严格的访问控制，不是谁都能打开的，这样就保证了密钥的安全,进而保证了所有被这个密钥加密的数据的安全。

CREATE KEYSTORE具体是做什么的？

CREATE KEYSTORE这个命令就是在你的OceanBase数据库里，正式地、安全地“初始化”一个保险柜，在你运行这个命令之前，这个保险柜是不存在的,或者说是没有正式启用的。

当你执行这个命令时,主要会做两件核心事情：

1. 创建保险柜结构：在数据库内部划出一块受保护的存储区域，用来存放密钥，你可以想象成在银行金库里安装了一个新的、带有复杂密码锁的实体保险箱。
2. 设置保险柜密码：你会给这个新创建的保险柜设置一个开门密码，这个密码在OceanBase里被称为“主密钥”，这个主密钥是保护保险柜里所有其他密钥的第一道，也是最重要的一道防线。你必须牢牢记住这个主密钥，如果忘了，保险柜就打不开了，里面的所有加密数据也就永远无法解密了，后果非常严重。

（官方文档中强调，创建密钥库是启用透明数据加密TDE的第一步，并且主密钥的安全性至关重要。）

怎么用这个命令？一个最简单的例子

命令的基本样子长这样：

CREATE KEYSTORE 你的密钥库名字 IDENTIFIED BY "保险柜的密码";

我们来拆解一下：

• CREATE KEYSTORE：这是固定关键字，告诉数据库“我要创建一个密钥库啦”。
• 你的密钥库名字：这是你给这个保险柜起的名字，my_data_vault, company_secret_box 都行，只要符合命名规则,容易你自己识别就好。
• IDENTIFIED BY "保险柜的密码"：这部分就是设置开柜密码,密码要用双引号括起来。

举个实实在在的例子：

假设我们公司叫“树叶云”，我想创建一个密钥库来保护我们的客户数据,我可以这样操作：

1. 用有管理员权限的账号（比如root用户）连接到OceanBase数据库。
2. 执行下面的SQL语句：

CREATE KEYSTORE leafcloud_keystore IDENTIFIED BY "MySuperSecurePassword123!";

如果系统返回“Query OK”，那就恭喜你，一个名为leafcloud_keystore的保险柜就已经在数据库里创建好了，它的开门密码就是MySuperSecurePassword123!。

创建之后呢？保险柜怎么用？

创建好一个空的保险柜只是第一步,接下来你要：

1. 打开保险柜（OPEN KEYSTORE）：在往里面放钥匙（密钥）或者用里面的钥匙之前，你必须先开门,开门的时候需要提供你创建时设的密码。

   ALTER KEYSTORE leafcloud_keystore OPEN IDENTIFIED BY "MySuperSecurePassword123!";

2. 往保险柜里放钥匙（密钥）：你可以使用其他命令（如ALTER INSTANCE）来生成或导入实际用于加密表数据的密钥,这个密钥会被自动存入你已经打开的保险柜里。

3. 关上保险柜（CLOSE KEYSTORE）：不用的时候，最好把保险柜门关上,增加安全性。

   ALTER KEYSTORE leafcloud_keystore CLOSE;

一些非常重要的提醒

• 密码千万不能丢：这一点再怎么强调都不为过，保险柜的主密钥是数据库自己都“不记得”的，它只验证你输入的密码是否正确，如果你和你的团队把这个密码忘了，那么世界上就没有任何办法能再打开这个保险柜了，里面所有的加密数据将永久性丢失，一定要用安全可靠的方式（比如由多个负责人分段记忆、使用专业的密码管理工具等）备份和保管好这个密码。
• 权限要求高：创建密钥库这种操作，通常只有数据库的最高权限管理员（如root用户或拥有SYSKM权限的用户）才能执行,不是随便一个开发人员都能操作的。
• 这只是第一步：创建了密钥库，并不代表你的数据就自动加密了，这仅仅是准备好了放钥匙的地方，你还需要通过后续步骤，比如为具体的表空间（tablespace）或表（table）开启加密功能,系统才会动用保险柜里的密钥去加密数据。

CREATE KEYSTORE就是在OceanBase里打造数据安全防线的起点，它为你建立了一个坚固的核心保险柜，你先把这个保险柜建好、设好密码保管妥当，后续的数据加密工作才能顺利地开展起来，希望树叶云的这个简单解释,能帮你弄懂这个命令的基本用法。