RDS MySQL支持對數據庫代理連接地址進行SSL(Secure Sockets Layer)加密,您可以啟用SSL加密,并安裝SSL CA證書到需要的應用服務,以提高RDS MySQL的鏈路安全性。本文介紹如何設置代理SSL加密。
SSL在傳輸層對網絡連接進行加密,能提升通信數據的安全性和完整性,但會同時增加網絡連接響應時間。
前提條件
實例版本如下:
MySQL 8.0高可用系列(內核小版本20200831或以上)
MySQL 8.0集群系列
MySQL 5.7集群系列
MySQL 5.7高可用系列(內核小版本20200831或以上)
MySQL 5.6高可用系列(內核小版本20200831或以上)
說明如果實例有只讀實例,只讀實例也需要滿足內核小版本要求。
數據庫代理內核小版本為1.12.8或以上。
需要開通SSL加密的代理連接地址總長度不能超過64個字符。
注意事項
每個代理終端中僅支持對一個代理連接地址設置SSL加密。
開通SSL加密、關閉SSL加密、修改SSL加密、更新證書有效期都會重啟代理實例,請謹慎操作。
開通SSL加密
開通SSL加密會重啟實例,請謹慎操作。
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊數據庫代理。
在連接信息區域,將鼠標懸停在目標代理連接地址ID,在彈出的對話框中的SSL配置信息區域,單擊SSL證書信息右側的開通。
在彈出的對話框中,選擇需要加密的地址,然后單擊確定。
SSL狀態變為已開通后,單擊SSL證書信息右側的下載CA證書。
說明下載的文件為壓縮包,包含如下三個文件:
PEM文件:適用于絕大部分場景。
JKS文件:PEM格式CA證書通常需要導入到truststore,即轉換為JKS文件才能在Java中使用。您可以在Java程序中使用此JKS文件,密碼為apsaradb。
p7b文件:適用于少數要求PKCS #7證書文件的Windows應用。
配置SSL CA證書后,可以驗證數據庫服務器端證書。
在Java中使用JKS證書文件時,jdk7和jdk8需要修改默認的jdk安全配置,在應用程序所在主機的
jre/lib/security/java.security文件中,修改如下兩項配置:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024若不修改jdk安全配置,會報如下錯誤。其它類似報錯,一般也都由Java安全配置導致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
配置SSL CA證書
開通SSL加密并下載CA證書后,可以配置SSL CA證書。具體操作,請參見配置CA證書。
修改SSL加密地址
修改SSL加密地址會更新證書有效期,同時重啟實例,請謹慎操作。
- 訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊數據庫代理。
在連接信息區域,將鼠標懸停在目標代理連接地址ID,在彈出的對話框中的SSL配置信息區域,單擊受保護地址下方的修改受保護地址。
選擇需要加密的地址,然后單擊確定。
更新證書有效期
更新證書有效期會重啟實例,請謹慎操作。
- 訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊數據庫代理。
在連接信息區域,將鼠標懸停在目標代理連接地址ID,在彈出的對話框中的SSL配置信息區域,單擊SSL證書信息右側的更新有效期,在彈出的對話框中單擊確定。
關閉SSL加密
關閉SSL加密會重啟實例,請謹慎操作。
- 訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊數據庫代理。
在連接信息區域,將鼠標懸停在目標代理連接地址ID,在彈出的對話框中的SSL配置信息區域,單擊SSL證書信息右側的關閉,在彈出的對話框中單擊確定。
相關API
API | 描述 |
設置數據庫代理連接地址SSL加密。 | |
查詢數據庫代理連接地址SSL加密信息。 |
附錄
通過SSL連接數據庫示例代碼
請參見通過SSL連接數據庫示例代碼。
SSL加密常見問題
請參見SSL加密常見問題。