Untuk meningkatkan keamanan koneksi, Anda dapat mengaktifkan enkripsi Secure Sockets Layer (SSL) dan menginstal sertifikat SSL CA pada layanan aplikasi Anda. Enkripsi SSL mengenkripsi koneksi jaringan pada lapisan transport untuk meningkatkan keamanan data dan memastikan integritas data. Topik ini menjelaskan operasi yang terkait dengan enkripsi SSL.
Prasyarat
Instans harus berupa instans set replika atau instans kluster sharded yang menggunakan cloud disk.
Catatan Penggunaan
Anda hanya dapat mengunduh sertifikat SSL CA dari Konsol ApsaraDB for MongoDB.
Mengaktifkan enkripsi SSL meningkatkan pemanfaatan CPU pada instans ApsaraDB for MongoDB Anda. Aktifkan enkripsi SSL hanya ketika Anda perlu mengenkripsi data selama transmisi, misalnya saat menghubungkan ke instans ApsaraDB for MongoDB melalui jaringan publik.
CatatanKoneksi jaringan internal relatif aman dan umumnya tidak memerlukan enkripsi.
Setelah Anda mengaktifkan enkripsi SSL untuk suatu instans, jika Anda mengubah titik akhir instans tersebut atau menambahkan titik akhir baru—seperti titik akhir node baru atau titik akhir publik—titik akhir baru tersebut tidak mendukung koneksi terenkripsi SSL. Untuk menggunakan koneksi terenkripsi SSL pada titik akhir baru tersebut, Anda harus memperbarui sertifikat server.
Setelah SSL diaktifkan, koneksi SSL maupun non-SSL tetap didukung. Untuk hanya mengizinkan koneksi SSL, Anda harus mengaktifkan enkripsi SSL wajib.
Dampak
Saat Anda mengaktifkan atau menonaktifkan enkripsi SSL, atau memperbarui sertifikat SSL, instans akan restart. Rencanakan bisnis Anda sebelumnya dan pastikan aplikasi Anda memiliki mekanisme penghubungan ulang.
Saat instans restart, nodenya direstart secara bergiliran. Terjadi pemutusan sementara sekitar 30 detik untuk setiap node. Jika instans memiliki banyak koleksi, misalnya lebih dari 10.000, pemutusan sementara tersebut berlangsung lebih lama.
Aktifkan Enkripsi SSL
Saat Anda mengaktifkan enkripsi SSL, instans ApsaraDB for MongoDB akan restart. Selama proses restart, terjadi pemutusan sementara sekitar 30 detik untuk setiap node. Rencanakan bisnis Anda sebelumnya dan pastikan aplikasi Anda memiliki mekanisme penghubungan ulang.
Buka halaman Replica Set Instances atau Sharded Cluster Instances. Pada bilah navigasi atas, pilih kelompok sumber daya dan wilayah. Lalu, klik ID instans target.
Pada panel navigasi di sebelah kiri, klik .
Aktifkan saklar di sebelah SSL Status.
Pada kotak dialog Enable SSL, pilih apakah akan mengaktifkan Forced SSL.
CatatanJika Anda mengaktifkan enkripsi SSL wajib, koneksi non-SSL akan ditolak.
Klik OK.
Status instans berubah menjadi Modifying SSL. Saat status SSL berubah menjadi Enabled dan status instans berubah menjadi Running, enkripsi SSL telah diaktifkan.
Unduh Sertifikat SSL CA
Buka halaman Replica Set Instances atau Sharded Cluster Instances. Pada bilah navigasi atas, pilih kelompok sumber daya dan wilayah. Lalu, klik ID instans target.
Pada panel navigasi di sebelah kiri, klik .
Klik Download Certificate untuk mengunduh sertifikat SSL CA ke komputer Anda.
Sertifikat SSL CA yang diunduh dapat digunakan untuk mengenkripsi koneksi database. Untuk informasi selengkapnya, lihat Gunakan mongo shell untuk menghubungkan ke database melalui koneksi terenkripsi SSL.
Operasi Lainnya
Perbarui Sertifikat Server
Sertifikat server MongoDB berlaku selama satu tahun. Jika sertifikat tidak diperbarui setelah kedaluwarsa, program client yang menggunakan koneksi terenkripsi tidak dapat terhubung ke instans. Saat sertifikat hampir kedaluwarsa, Alibaba Cloud akan memberi tahu Anda melalui pesan teks, email, dan pesan internal di Event Center. Sertifikat juga diperbarui secara otomatis dalam periode waktu tertentu. Anda dapat mengonfigurasi Schedule Event untuk menyesuaikan waktu pembaruan sertifikat. Untuk informasi selengkapnya, lihat Scheduled events. Anda juga dapat memperbarui periode validitas sertifikat server secara manual.
Setelah sertifikat server diperbarui secara otomatis, program client yang menggunakan koneksi terenkripsi dapat terhubung ke database tanpa perlu mengunduh dan mengonfigurasi ulang sertifikat CA. Saat Anda memperbarui sertifikat SSL, instans ApsaraDB for MongoDB akan restart. Selama proses restart, terjadi pemutusan sementara sekitar 30 detik untuk setiap node. Anda dapat mengonfigurasi Schedule Event untuk menyesuaikan waktu pembaruan sertifikat. Rencanakan bisnis Anda sebelumnya dan pastikan aplikasi Anda memiliki mekanisme penghubungan ulang.
Buka halaman Replica Set Instances. Pada bilah navigasi atas, pilih kelompok sumber daya dan wilayah. Lalu, klik ID instans target.
Pada panel navigasi di sebelah kiri, klik .
Klik Update Certificate.
Pada kotak dialog Update SSL, klik OK.
Status instans berubah menjadi Modifying SSL. Saat status instans berubah menjadi Running, sertifikat server telah diperbarui.
Nonaktifkan Enkripsi SSL
Saat Anda menonaktifkan enkripsi SSL, instans ApsaraDB for MongoDB akan restart. Selama proses restart, terjadi pemutusan sementara sekitar 30 detik untuk setiap node. Rencanakan bisnis Anda sebelumnya dan pastikan aplikasi Anda memiliki mekanisme penghubungan ulang.
Buka halaman Replica Set Instances. Pada bilah navigasi atas, pilih kelompok sumber daya dan wilayah. Lalu, klik ID instans target.
Pada panel navigasi di sebelah kiri, klik .
Nonaktifkan saklar di sebelah SSL Status.
Pada kotak dialog Disable SSL, klik OK.
Status instans berubah menjadi Modifying SSL. Saat status instans berubah menjadi Running, enkripsi SSL dinonaktifkan.
Operasi API Terkait
API | Deskripsi |
Mengquery pengaturan SSL dari instans ApsaraDB for MongoDB. | |
Memodifikasi pengaturan SSL dari instans ApsaraDB for MongoDB. |