設(shè)置SSL加密
為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,并安裝SSL CA證書到需要的應(yīng)用服務(wù)。SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密,能提升通信數(shù)據(jù)的安全性和完整性,但會同時增加網(wǎng)絡(luò)連接響應(yīng)時間。
前提條件
實(shí)例需為PolarDB-X且版本為5.4.10或以上,實(shí)例基本信息頁可查看實(shí)例版本信息。
注意事項(xiàng)
SSL的證書有效期為1年,請及時更新證書有效期并重新下載配置CA證書,否則使用加密連接的客戶端程序?qū)o法正常連接。
由于SSL加密的實(shí)現(xiàn)原理,啟用SSL加密會顯著增加CPU使用率,建議您僅在外網(wǎng)鏈路有加密需求的時候啟用SSL加密。內(nèi)網(wǎng)鏈路相對較安全,一般無需對鏈路加密。
開啟或關(guān)閉SSL加密會重啟實(shí)例,請謹(jǐn)慎操作。
開啟SSL加密
- 登錄PolarDB分布式版控制臺。
- 在頁面左上角選擇目標(biāo)實(shí)例所在地域。
- 在實(shí)例列表頁,單擊PolarDB-X 2.0頁簽。
- 找到目標(biāo)實(shí)例,單擊實(shí)例ID。
- 在左側(cè)導(dǎo)航欄選擇 。
單擊SSL配置頁簽,打開SSL配置的開關(guān)。
說明開啟SSL加密時,默認(rèn)選擇內(nèi)網(wǎng)地址為SSL受保護(hù)的地址。您也可以將受保護(hù)的地址修改為公網(wǎng)地址,詳情請參見修改SSL受保護(hù)地址。
在彈出的對話框中,單擊確定。
重要開啟或關(guān)閉SSL加密會重啟實(shí)例,建議在業(yè)務(wù)低峰期操作,并確保您的應(yīng)用具備自動重連機(jī)制。
開通成功后,單擊下載CA證書。
下載的文件為壓縮包,包含如下三個文件:
.p7b文件:用于Windows系統(tǒng)中導(dǎo)入CA證書。
.pem文件:用于其他系統(tǒng)或應(yīng)用中導(dǎo)入CA證書。
.jks文件:Java中的truststore證書存儲文件,密碼統(tǒng)一為apsaradb,用于Java程序中導(dǎo)入CA證書鏈。
說明在Java中使用JKS證書文件時,jdk7和jdk8需要修改默認(rèn)的jdk安全配置,在應(yīng)用程序所在主機(jī)的
jre/lib/security/java.security
文件中,修改如下兩項(xiàng)配置:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
若不修改jdk安全配置,會報(bào)如下錯誤。其它類似報(bào)錯,一般也都由Java安全配置導(dǎo)致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
配置SSL CA證書
開通SSL加密后,應(yīng)用或者客戶端連接PolarDB-X時需要配置SSL CA證書。本文以MySQL Workbench和Navicat為例,介紹SSL CA證書安裝方法。其它應(yīng)用或者客戶端請參見對應(yīng)產(chǎn)品的使用說明。
MySQL Workbench配置方法
打開MySQL Workbench。
選擇 。
啟用Use SSL,并導(dǎo)入SSL CA證書。
Navicat配置方法
打開Navicat。
在目標(biāo)數(shù)據(jù)庫上單擊鼠標(biāo)右鍵,選擇編輯連接。
選擇SSL頁簽,選擇.pem格式CA證書的路徑。
單擊確定。
說明如果報(bào)
connection is being used
錯誤,是由于之前的會話未斷開,請關(guān)閉Navicat重新打開。雙擊目標(biāo)數(shù)據(jù)庫測試能否正常連接。
更新證書有效期
更新有效期操作將會重啟實(shí)例,建議在業(yè)務(wù)低峰期操作,并確保您的應(yīng)用具備自動重連機(jī)制。
更新有效期后需要重新下載及配置CA證書。
修改SSL受保護(hù)地址
- 登錄PolarDB分布式版控制臺。
- 在頁面左上角選擇目標(biāo)實(shí)例所在地域。
- 在實(shí)例列表頁,單擊PolarDB-X 2.0頁簽。
- 找到目標(biāo)實(shí)例,單擊實(shí)例ID。
- 在左側(cè)導(dǎo)航欄選擇 。
單擊SSL配置頁簽。
單擊設(shè)置SSL。
在彈出的對話框中,選擇目標(biāo)地址為受保護(hù)的地址。
說明開通SSL時,默認(rèn)選擇內(nèi)網(wǎng)地址為SSL受保護(hù)的地址,您可以將其修改為公網(wǎng)地址。
修改SSL受保護(hù)地址操作將會重啟實(shí)例,建議在業(yè)務(wù)低峰期操作,并確保您的應(yīng)用具備自動重連機(jī)制。
修改SSL受保護(hù)地址后需要重新下載及配置CA證書。
單擊確定即可。
關(guān)閉SSL加密
關(guān)閉SSL加密會重啟實(shí)例,建議您在業(yè)務(wù)低峰期操作,并確保您的應(yīng)用具備自動重連機(jī)制。
SSL加密關(guān)閉后,數(shù)據(jù)庫訪問性能會有一定程度提升,但安全性上有削弱,故非安全環(huán)境下不建議關(guān)閉SSL加密。
- 登錄PolarDB分布式版控制臺。
- 在頁面左上角選擇目標(biāo)實(shí)例所在地域。
- 在實(shí)例列表頁,單擊PolarDB-X 2.0頁簽。
- 找到目標(biāo)實(shí)例,單擊實(shí)例ID。
- 在左側(cè)導(dǎo)航欄選擇 。
單擊SSL配置頁簽。
關(guān)閉SSL配置的開關(guān)。
在彈出的對話框中單擊確定即可。