注意事項

• SSL的證書有效期為1年，請及時更新證書有效期并重新下載和配置CA證書，否則使用加密連接的客戶端程序將無法正常連接。

• 由于SSL加密的固有缺陷，啟用SSL加密會顯著增加CPU使用率，建議您僅在外網鏈路有加密需求的時候啟用SSL加密。內網鏈路相對較安全，一般無需對鏈路加密。

• 關閉SSL加密會重啟集群，請謹慎操作。

開啟SSL加密和下載證書

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽，單擊SSL狀態右側滑塊，開啟SSL加密。

   說明

   PolarDB PostgreSQL版（兼容Oracle）的集群僅支持為主地址配置SSL。

6. 在設置SSL對話框中，單擊確定。

7. SSL狀態變為已開通后，單擊下載證書。

   下載的文件為壓縮包，包含如下三個文件：

   • p7b文件：用于Windows系統中導入CA證書。

   • pem文件：用于其他系統或應用中導入CA證書。

   • jks文件：Java中的truststore證書存儲文件，密碼統一為apsaradb，用于Java程序中導入CA證書鏈。

     說明

     在Java中使用JKS證書文件時，jdk7和jdk8需要修改默認的jdk安全配置，在連接PolarDB數據庫的服務器的jre/lib/security/java.security文件中，修改如下兩項配置：

     jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
     jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

     若不修改jdk安全配置，會報如下錯誤。其它類似報錯，一般也都由Java安全配置導致。

     javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

更新證書有效期

如果您修改了SSL連接地址或證書有效期即將到期，您需要更新證書有效期，以下內容將為您介紹如何更新證書有效期。

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽中單擊更新有效期。

6. 在設置SSL對話框單擊確定。

   說明

   更新有效期操作將會重啟集群，重啟前請做好業務安排，謹慎操作。

7. 更新有效期后，重新下載和配置證書。

   說明

   下載證書請參見開啟SSL加密和下載證書步驟七。

關閉SSL加密

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽中單擊SSL狀態右側滑塊，關閉SSL加密。

6. 在設置SSL對話框，單擊確定。

常見問題

Q：SSL證書到期后不更新會有什么影響？會影響實例運行或數據安全嗎？

A：SSL證書到期后不更新，會導致使用加密連接的客戶端程序無法正常連接實例，不會影響實例運行或數據安全。

相關API