接続のセキュリティを向上させるために、Secure Sockets Layer (SSL) 暗号化を有効にし、アプリケーションサービスに SSL CA 証明書をインストールできます。SSL 暗号化は、トランスポート層でネットワーク接続を暗号化し、データセキュリティを向上させ、データ整合性を確保します。本トピックでは、SSL 暗号化に関連する操作について説明します。
前提条件
インスタンスは、クラウドディスクを使用するレプリカセットインスタンスまたはシャードクラスターインスタンスである必要があります。
注意事項
SSL CA 証明書は、ApsaraDB for MongoDB コンソールからのみダウンロードできます。
SSL 暗号化を有効にすると、ApsaraDB for MongoDB インスタンスの CPU 使用率が増加します。SSL 暗号化は、パブリックネットワーク経由で ApsaraDB for MongoDB インスタンスに接続する場合など、転送中のデータを暗号化する必要がある場合にのみ有効にしてください。
説明内部ネットワーク接続は比較的安全であり、通常は暗号化を必要としません。
インスタンスの SSL 暗号化を有効にした後、インスタンスのエンドポイントを変更したり、新しいノードエンドポイントやパブリックエンドポイントなどの新しいエンドポイントを申請したりした場合、新しいエンドポイントは SSL 暗号化接続をサポートしません。新しいエンドポイントで SSL 暗号化接続を使用したい場合は、サーバー証明書を更新する必要があります。
SSL を有効にすると、SSL 接続と非 SSL 接続の両方がサポートされます。SSL 接続のみを許可するには、SSL の強制暗号化を有効にする必要があります。
影響
SSL 暗号化を有効または無効にするか、SSL 証明書を更新すると、インスタンスは再起動します。事前にビジネス計画を立て、アプリケーションに再接続メカニズムがあることを確認してください。
インスタンスが再起動すると、そのノードはローリング方式で再起動されます。各ノードで約 30 秒の瞬断が発生します。インスタンスに 10,000 を超えるコレクションなど、多数のコレクションがある場合、瞬断はより長く続きます。
SSL 暗号化の有効化
SSL 暗号化を有効にすると、ApsaraDB for MongoDB インスタンスが再起動します。再起動中、各ノードで約 30 秒の瞬断が発生します。事前にビジネス計画を立て、アプリケーションに再接続メカニズムがあることを確認してください。
レプリカセットインスタンスまたはシャードクラスターインスタンスページに移動します。上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 をクリックします。
SSL のステータス の横にあるスイッチをオンにします。
SSL の有効化 ダイアログボックスで、Forced SSL を有効にするかどうかを選択します。
説明SSL の強制暗号化を有効にすると、非 SSL 接続は拒否されます。
[OK] をクリックします。
インスタンスの状態が [SSL 変更中] に変わります。SSL のステータスが [有効] に、インスタンスの状態が [実行中] に変わると、SSL 暗号化が有効になります。
SSL CA 証明書のダウンロード
レプリカセットインスタンスまたはシャードクラスターインスタンスページに移動します。上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 をクリックします。
証明書のダウンロード をクリックして、SSL CA 証明書をコンピューターにダウンロードします。
ダウンロードした SSL CA 証明書は、データベース接続の暗号化に使用できます。詳細については、「mongo シェルを使用して SSL 暗号化接続でデータベースに接続する」をご参照ください。
その他の操作
サーバー証明書の更新
MongoDB サーバー証明書の有効期間は 1 年です。証明書の有効期限が切れた後に更新されない場合、暗号化接続を使用するクライアントプログラムはインスタンスに接続できません。証明書の有効期限が近づくと、Alibaba Cloud はショートメッセージ、メール、およびイベントセンターの内部メッセージで通知します。証明書は、特定の期間内に自動的に更新されます。[イベントのスケジュール] を設定して、証明書の更新時間をカスタマイズできます。詳細については、「予約イベント」をご参照ください。サーバー証明書の有効期間を手動で更新することもできます。
サーバー証明書が自動的に更新された後、暗号化接続を使用するクライアントプログラムは、CA 証明書をダウンロードして再設定しなくてもデータベースに接続できます。SSL 証明書を更新すると、ApsaraDB for MongoDB インスタンスが再起動します。再起動中、各ノードで約 30 秒の瞬断が発生します。[イベントのスケジュール] を設定して、証明書の更新時間をカスタマイズできます。事前にビジネス計画を立て、アプリケーションに再接続メカニズムがあることを確認してください。
レプリカセットインスタンスページに移動します。上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 をクリックします。
[証明書の更新] をクリックします。
[SSL の更新] ダイアログボックスで、[OK] をクリックします。
インスタンスの状態が [SSL 変更中] に変わります。インスタンスの状態が [実行中] に変わると、サーバー証明書が更新されます。
SSL 暗号化の無効化
SSL 暗号化を無効にすると、ApsaraDB for MongoDB インスタンスが再起動します。再起動中、各ノードで約 30 秒の瞬断が発生します。事前にビジネス計画を立て、アプリケーションに再接続メカニズムがあることを確認してください。
レプリカセットインスタンスページに移動します。上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 をクリックします。
[SSL ステータス] の横にあるスイッチをオフにします。
[SSL の無効化] ダイアログボックスで、[OK] をクリックします。
インスタンスの状態が [SSL 変更中] に変わります。インスタンスの状態が [実行中] に変わると、SSL 暗号化が無効になります。
関連する API 操作
API | 説明 |
ApsaraDB for MongoDB インスタンスの SSL 設定を照会します。 | |
ApsaraDB for MongoDB インスタンスの SSL 設定を変更します。 |