為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,并安裝SSL CA證書到需要的應用服務。SSL在傳輸層對網絡連接進行加密,能提升通信數據的安全性和完整性,但會同時增加網絡連接響應時間。
注意事項
SSL的證書有效期為1年,請及時更新證書有效期并重新下載和配置CA證書,否則使用加密連接的客戶端程序將無法正常連接。
由于SSL加密的固有缺陷,啟用SSL加密會顯著增加CPU使用率,建議您僅在外網鏈路有加密需求的時候啟用SSL加密。內網鏈路相對較安全,一般無需對鏈路加密。
關閉SSL加密會重啟集群,請謹慎操作。
開啟SSL加密和下載證書
登錄PolarDB管理控制臺。
在頁面左上角,選擇集群所在地域。
找到目標集群,單擊集群ID。
在左側菜單欄中單擊 。
在SSL配置頁簽,單擊SSL狀態右側滑塊,開啟SSL加密。
說明PolarDB PostgreSQL版(兼容Oracle)的集群僅支持為主地址配置SSL。
在設置SSL對話框中,單擊確定。
SSL狀態變為已開通后,單擊下載證書。
下載的文件為壓縮包,包含如下三個文件:
p7b文件:用于Windows系統中導入CA證書。
pem文件:用于其他系統或應用中導入CA證書。
jks文件:Java中的truststore證書存儲文件,密碼統一為apsaradb,用于Java程序中導入CA證書鏈。
說明在Java中使用JKS證書文件時,jdk7和jdk8需要修改默認的jdk安全配置,在連接PolarDB數據庫的服務器的
jre/lib/security/java.security
文件中,修改如下兩項配置:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
若不修改jdk安全配置,會報如下錯誤。其它類似報錯,一般也都由Java安全配置導致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
更新證書有效期
如果您修改了SSL連接地址或證書有效期即將到期,您需要更新證書有效期,以下內容將為您介紹如何更新證書有效期。
登錄PolarDB管理控制臺。
在頁面左上角,選擇集群所在地域。
找到目標集群,單擊集群ID。
在左側菜單欄中單擊 。
在SSL配置頁簽中單擊更新有效期。
在設置SSL對話框單擊確定。
說明更新有效期操作將會重啟集群,重啟前請做好業務安排,謹慎操作。
更新有效期后,重新下載和配置證書。
說明下載證書請參見開啟SSL加密和下載證書步驟七。
關閉SSL加密
關閉SSL加密會重啟集群,建議您在業務低峰期操作。
SSL加密關閉后,數據庫訪問性能會有一定程度提升,但安全性上有削弱,故非安全環境下不建議關閉SSL加密。
登錄PolarDB管理控制臺。
在頁面左上角,選擇集群所在地域。
找到目標集群,單擊集群ID。
在左側菜單欄中單擊 。
在SSL配置頁簽中單擊SSL狀態右側滑塊,關閉SSL加密。
在設置SSL對話框,單擊確定。
常見問題
Q:SSL證書到期后不更新會有什么影響?會影響實例運行或數據安全嗎?
A:SSL證書到期后不更新,會導致使用加密連接的客戶端程序無法正常連接實例,不會影響實例運行或數據安全。
相關API
API | 描述 |
調用DescribeDBClusterSSL接口查詢PolarDB集群SSL設置。 | |
調用ModifyDBClusterSSL接口設置PolarDB集群SSL加密的開通、關閉或更新CA證書。 |