步驟一：獲取自定義證書

以CentOS系統配置為例，執行如下步驟：

1. 創建自簽名證書（server-ca.crt）和自簽名證書私鑰（server-ca.key）。

   openssl req -new -x509 -days 365 -nodes -out server-ca.crt -keyout server-ca.key -subj "/CN=root-ca"

2. 生成服務器證書請求文件（server.csr）和服務器證書私鑰（server.key）。

   MySQL的自定義證書目前僅支持對一個連接地址進行保護。您可以根據需要選擇配置生成服務器證書請求文件，請配置如下命令：

   openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=rm-bpxxxxx.mysql.rds.aliyuncs.com"

   說明

   rm-bpxxxxx.mysql.rds.aliyuncs.com僅用于舉例，請修改為需要保護的鏈接地址，查看連接地址請參見查看和管理實例連接地址和端口。

   生成證書請求文件（server.csr）的過程中，會提示配置以下參數，請根據實際情況配置。

   參數	說明	示例
   Country Name	ISO國家代碼（兩位字符）	CN
   State or Province Name	所在省份	ZheJiang
   Locality Name	所在城市	HangZhou
   Organization Name	公司名稱	Alibaba
   Organizational Unit Name	部門名稱	Aliyun
   Common Name	申請SSL證書的域名，在openssl.cnf文件中已配置，不需要輸入	-
   Email Address	不需要輸入	-
   A challenge password	不需要輸入	-
   An optional company name	不需要輸入	-

3. 生成服務器證書（server.crt）。

   • 如果您需要保護連接地址，請配置如下命令。

     openssl x509 -req -in server.csr -text -days 365 -CA server-ca.crt -CAkey server-ca.key -CAcreateserial  -out server.crt

完成以上步驟的配置后，執行ls命令，查看已生成的文件：

# ls
server-ca.crt  server-ca.key  ca.srl  server.crt  server.csr  server.key

關鍵文件解釋如下：

• server.crt：服務器證書文件。

• server.key：服務器私鑰文件。

• server-ca.crt：自簽名證書。

• server-ca.key：自簽名證書私鑰。

步驟二：使用自定義證書開啟SSL鏈路加密

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 進入數據安全性>SSL頁面。

3. 切換證書來源為使用自定義證書，單擊未開通前的開關，填寫服務器證書及服務器證書私鑰后，單擊確定，完成配置。

   

   參數	取值
   服務器證書	此參數填寫步驟一：獲取自定義證書步驟中獲取的server.crt文件內容。請填寫-----BEGIN CERTIFICATE-----至-----END CERTIFICATE-----間的內容，包括BEGIN和END部分。
   服務器證書私鑰	此參數填寫步驟一：獲取自定義證書步驟中獲取的server.key文件內容。請填寫-----BEGIN PRIVATE KEY-----至-----END PRIVATE KEY-----間的內容，包括BEGIN和END部分。

配置成功后，會顯示如下圖所示的信息：

步驟三：客戶端連接數據庫

RDS MySQL數據庫支持通過SSL遠程連接，更多信息，請參見SSL連接RDS MySQL數據庫。

步驟四：（可選）更新證書

如果您需要更新證書，可以在SSL頁面單擊更新SSL按鈕，填入新的服務器證書和私鑰。

步驟五：（可選）關閉SSL鏈路加密

如果您需要關閉SSL鏈路加密，可以在SSL頁面單擊已開通前的按鈕。