背景信息

SSL（Secure Sockets Layer）指安全套接字協(xié)議，是為了安全通信、數(shù)據(jù)安全性專門設計的安全協(xié)議，SSL 3.0之后更名為TLS（Transport Layer Security）。本文以配置云端證書為例，指導您快速配置SSL鏈路加密。

PolarDB PostgreSQL版集群支持的SSL鏈路加密配置及功能對比如下：

前提條件

• 集群為PolarDB PostgreSQL版 14、15或以上版本，其中 PolarDB PostgreSQL版14要求內核版本大于等于14.10.21.0版本，主地址可允許配置自定義證書、客戶端CA證書等；低版本僅支持云端證書模式。

• 集群的數(shù)據(jù)庫代理版本要求至少為2.3.51版本，集群地址和自定義地址才允許配置自定義證書、客戶端CA證書等；低版本僅支持云端證書模式。

• 已下載pgAdmin 4 客戶端。

注意事項

• SSL的云端證書有效期為1年，請及時更新證書有效期并重新下載和配置CA證書，否則使用加密連接的客戶端程序將無法正常連接。

• 由于SSL加密的固有缺陷，啟用SSL加密會顯著增加CPU使用率，建議您僅在外網(wǎng)鏈路有加密需求的時候啟用SSL加密。內網(wǎng)鏈路相對較安全，一般無需對鏈路加密。

• 開啟SSL鏈路加密后，已有連接需要斷開重連，加密才會生效。

• 開啟云端證書、更新證書有效期、更改云端證書保護的連接地址或關閉SSL鏈路加密，會存在連接閃斷，請在業(yè)務低峰期操作。

步驟一：使用云端證書開啟SSL鏈路加密

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽，選擇主地址或者任意集群地址，點擊SSL狀態(tài)右側滑塊或者點擊設置數(shù)據(jù)庫證書按鈕，開啟SSL加密。

6. 在設置數(shù)據(jù)庫證書對話框，選擇云端證書，并選擇要保護的連接地址。

7. 單擊確定，進入開啟流程。開啟后，請耐心等待集群到運行狀態(tài)進行后續(xù)操作。

   

步驟二：下載CA證書

開啟云端證書后，PolarDB PostgreSQL版數(shù)據(jù)庫提供數(shù)據(jù)庫CA證書供您下載。當您通過客戶端遠程連接PolarDB PostgreSQL版數(shù)據(jù)庫時，使用數(shù)據(jù)庫CA證書即可對數(shù)據(jù)庫真?zhèn)芜M行校驗。

1. 在SSL 配置頁簽，單擊云端證書右側的下載證書，即可下載證書。

   

2. 解壓下載的CA證書。下載的文件為壓縮包，包含如下三個文件：

   1. p7b文件：用于Windows系統(tǒng)中導入CA證書。

   2. pem文件：用于其他系統(tǒng)或應用中導入CA證書。

   3. jks文件：Java中的truststore證書存儲文件，密碼統(tǒng)一為apsaradb，用于Java程序中導入CA證書鏈。

   說明

   在 Java中使用JKS證書文件時，jdk7和jdk8需要修改默認的jdk安全配置，在連接PolarDB數(shù)據(jù)庫的服務器的jre/lib/security/java.security文件中，修改如下兩項配置：

   jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
   jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

   若不修改jdk安全配置，會報如下錯誤。其它類似報錯，一般也都由Java安全配置導致。

   javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

步驟三：客戶端連接數(shù)據(jù)庫

本示例中以pgAdmin客戶端通過SSL連接PolarDB PostgreSQL版數(shù)據(jù)庫為例。

PolarDB PostgreSQL版數(shù)據(jù)庫還支持通過psql命令行終端和JDBC等多種方式SSL遠程連接，更多信息，請參見SSL連接PolarDB PostgreSQL數(shù)據(jù)庫。

1. 啟動pgAdmin 4客戶端。

   說明

   高版本客戶端首次登錄需要設置Master Password用于保護保存的密碼和其他憑據(jù)。

2. 右鍵單擊Servers，選擇Register > Server...。

   

3. 在General頁簽設置連接名稱。

   

4. 選擇Connection標簽頁，輸入要連接的集群信息。

   

   參數(shù)	說明
   Host name/address	PolarDB PostgreSQL版集群已開啟SSL連接的主地址或集群地址及其對應的端口： 若通過內網(wǎng)連接，需輸入集群的內網(wǎng)地址和內網(wǎng)端口。 若使用外網(wǎng)連接，需輸入集群的外網(wǎng)地址和外網(wǎng)端口。
   Port
   Username	PolarDB PostgreSQL版集群的賬號和密碼。
   Password

5. 選擇Parameters標簽頁，添加SSL認證方式相關參數(shù)并配置證書。

   參數(shù)	說明
   SSL mode	為了使用SSL安全連接，請配置Require、Verify-CA或Verify-Full連接方式，參數(shù)含義如下： Require：只對數(shù)據(jù)鏈路加密，并不驗證數(shù)據(jù)庫服務器的真實性。 Verify-CA：加密數(shù)據(jù)鏈路，同時驗證數(shù)據(jù)庫的真實性。 Verify-Full：加密數(shù)據(jù)鏈路，驗證數(shù)據(jù)庫的真實性，同時比對證書內的CN或DNS與連接時配置的Host name/address的一致性。
   Root certificate	當SSL mode取值為Verify-CA或Verify-Full時，需要配置此參數(shù)，表示數(shù)據(jù)庫CA證書路徑。 說明 本示例中，從SSL頁面下載的CA證書解壓路徑為 D:\CA\aliyunCA\，您可以將證書解壓到您本地的任意位置。 pgAdmin客戶端中使用的數(shù)據(jù)庫CA證書為PEM文件。

6. 單擊Save。

   若連接信息無誤，會出現(xiàn)如下界面，則表示連接成功。

   

   重要

   postgres是PolarDB PostgreSQL版集群默認的系統(tǒng)數(shù)據(jù)庫，請勿在該數(shù)據(jù)庫中進行任何操作。

步驟四：（可選）更新云端證書有效期

如果您的證書有效期即將到期，需要更新證書有效期，可按照以下步驟更新證書有效期。

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽，選擇需要更新的主地址或集群地址，單擊更新有效期按鈕。

6. 在彈出的對話框中，單擊確定。

   

   說明

   更新有效期操作將會重啟集群，重啟前請做好業(yè)務安排，謹慎操作。

7. 更新有效期后，請重新下載和配置證書。

步驟五：（可選）關閉SSL鏈路加密

如果您需要關閉SSL鏈路加密，可以按照如下步驟進行操作。

1. 登錄PolarDB管理控制臺。

2. 在頁面左上角，選擇集群所在地域。

3. 找到目標集群，單擊集群ID。

4. 在左側菜單欄中單擊配置與管理 > 安全管理。

5. 在SSL配置頁簽，找到需要關閉的主地址或集群地址，單擊SSL狀態(tài)右側滑塊。