All Products
Search

This Product

    ApsaraDB RDS:Gunakan sertifikat kustom untuk mengaktifkan enkripsi SSL

    Document Center

    ApsaraDB RDS:Gunakan sertifikat kustom untuk mengaktifkan enkripsi SSL

    Last Updated:May 15, 2026

    Saat mengonfigurasi enkripsi SSL untuk instans ApsaraDB RDS for MySQL, Anda dapat menggunakan sertifikat cloud yang disediakan oleh ApsaraDB atau sertifikat kustom. Topik ini menjelaskan cara mengaktifkan enkripsi SSL dengan sertifikat kustom.

    Prasyarat

    • OpenSSL telah diinstal.

    • Fitur enkripsi SSL hanya tersedia pada instans ApsaraDB RDS for MySQL dengan edisi dan versi berikut:

      • Edisi Ketersediaan Tinggi: 8.4, 8.0, 5.7, dan 5.6

      • Edisi Kluster: 8.4, 8.0, dan 5.7

      • Edisi Dasar: 8.4, 8.0, dan 5.7

    • Fitur enkripsi SSL paksa hanya tersedia untuk instans yang memenuhi persyaratan berikut:

      • Versi mesin mayor: 8.4, 8.0, atau 5.7

      • Edisi Produk: Edisi Dasar, Edisi Ketersediaan Tinggi, atau Edisi Kluster

      • Versi mesin minor adalah 20241130 atau lebih baru.

    Catatan

    • Pada sistem Linux, OpenSSL biasanya sudah pra-instal.

    • Pada sistem Windows, Anda harus mengunduh dan menginstal paket OpenSSL.

    Catatan penggunaan

    • Mengaktifkan enkripsi SSL meningkatkan pemanfaatan CPU serta latensi baca dan tulis.

    • Setelah mengaktifkan enkripsi SSL, Anda harus membuat ulang koneksi yang sudah ada agar enkripsi berlaku.

    • Mengonfigurasi atau memodifikasi sertifikat kustom, atau menonaktifkan enkripsi SSL, akan melakukan restart instans database Anda. Proses restart memerlukan waktu sekitar tiga menit. Kami merekomendasikan Anda melakukan operasi ini selama jam sepi.

    • Jika Anda mengaktifkan enkripsi SSL paksa, klien dan proksi database hanya dapat terhubung ke instans ApsaraDB RDS for MySQL melalui enkripsi SSL. Koneksi tanpa enkripsi akan ditolak.

    Prosedur

    Langkah 1: Dapatkan sertifikat kustom

    Peringatan

    Saat membuat kunci privat server atau kunci privat dari sertifikat tanda tangan sendiri, jangan mengenkripsinya dengan password. Jika tidak, Anda tidak dapat mengaktifkan enkripsi SSL.

    Langkah-langkah berikut menggunakan CentOS sebagai contoh.

    Catatan

    Jika sistem operasi Anda adalah Windows, perintah openssl dikonfigurasi dengan cara yang sama seperti perintah openssl pada sistem CentOS. Gantilah perintah cp dengan penyalinan manual, dan perintah vim dengan pengeditan file secara manual.

    1. Buat sertifikat CA tanda tangan sendiri (server-ca.crt) dan kunci privatnya (server-ca.key).

      openssl req -new -x509 -days 365 -nodes -out server-ca.crt -keyout server-ca.key -subj "/CN=root-ca"

    2. Buat permintaan penandatanganan sertifikat (CSR) server (server.csr) dan kunci privat server (server.key).

      Saat ini, sertifikat kustom untuk instans ApsaraDB RDS for MySQL hanya melindungi satu titik akhir. Buat CSR untuk titik akhir Anda dengan menjalankan perintah berikut:

      openssl req -new -nodes -text -out server.csr -keyout server.key -subj "/CN=rm-bpxxxxx.mysql.rds.aliyuncs.com"
      Catatan

      Titik akhir rm-bpxxxxx.mysql.rds.aliyuncs.com hanyalah contoh. Gantilah dengan titik akhir yang ingin Anda lindungi. Untuk melihat titik akhir instans Anda, lihat Lihat dan kelola titik akhir serta port instans.

      Saat membuat file CSR (server.csr), Anda akan diminta mengatur parameter berikut.

      Parameter

      Deskripsi

      Contoh

      Country name

      Kode negara ISO dua huruf.

      CN

      State or province name

      Nama provinsi.

      Zhejiang

      Locality name

      Nama kota.

      Hangzhou

      Organization name

      Nama perusahaan.

      Alibaba

      Organizational unit name

      Nama departemen.

      Aliyun

      Common name

      Nama domain tempat Anda meminta sertifikat SSL. Ini dikonfigurasi dalam file openssl.cnf dan tidak memerlukan input.

      -

      Email address

      Biarkan bidang ini kosong.

      -

      A challenge password

      Biarkan bidang ini kosong.

      -

      An optional company name

      Biarkan bidang ini kosong.

      -

    3. Buat sertifikat server (server.crt).

      • Untuk melindungi titik akhir, jalankan perintah berikut.

        openssl x509 -req -in server.csr -text -days 365 -CA server-ca.crt -CAkey server-ca.key -CAcreateserial  -out server.crt

    Setelah menyelesaikan langkah-langkah ini, jalankan perintah ls untuk melihat file yang dihasilkan: 

    # ls
server-ca.crt  server-ca.key  ca.srl  server.crt  server.csr  server.key

    File kunci yang dihasilkan adalah:

    • server.crt: File sertifikat server.

    • server.key: File kunci privat server.

    • server-ca.crt: Sertifikat CA tanda tangan sendiri.

    • server-ca.key: Kunci privat dari sertifikat CA tanda tangan sendiri.

    Langkah 2: Aktifkan SSL dengan sertifikat kustom

    Catatan

    Setelah mengonfigurasi sertifikat kustom, status instans berubah menjadi Modifying SSL Settings selama sekitar tiga menit. Tunggu hingga status instans berubah menjadi running sebelum melanjutkan.

    1. Buka daftar RDS Instances. Di bilah navigasi atas, pilih wilayah instans target Anda, lalu klik ID instans tersebut.

    2. Di panel navigasi kiri, pilih Data Security > SSL Encryption.

    3. Untuk Custom Certificate, pilih Use custom certificate. Klik sakelar di samping Disabled untuk mengaktifkan SSL. Masukkan konten untuk Server Certificate dan Private Key of Server Certificate. Pilih apakah akan mengaktifkan Forceful Encryption, lalu klik OK.

      Parameter

      Nilai

      Server certificate

      Tempel konten file server.crt yang Anda peroleh di Langkah 1: Dapatkan sertifikat kustom. Konten harus mencakup semua teks dari baris -----BEGIN CERTIFICATE----- hingga baris -----END CERTIFICATE-----.

      Server private key

      Tempel konten file server.key yang Anda peroleh di Langkah 1: Dapatkan sertifikat kustom. Konten harus mencakup semua teks dari baris -----BEGIN PRIVATE KEY----- hingga baris -----END PRIVATE KEY-----.

      Forceful ssl encryption

      Aktifkan atau nonaktifkan fitur ini sesuai kebutuhan bisnis Anda.

      • Fitur ini tersedia untuk instans yang menjalankan MySQL 8.4, 8.0, atau 5.7 dengan versi mesin minor 20241130 atau lebih baru.

      • Jika Anda mengaktifkan enkripsi SSL paksa, klien dan proksi database hanya dapat terhubung ke instans ApsaraDB RDS for MySQL melalui enkripsi SSL. Koneksi tanpa enkripsi akan ditolak.

    Langkah 3: Hubungkan ke database

    Anda dapat terhubung secara remote ke instans ApsaraDB RDS for MySQL melalui SSL. Untuk informasi selengkapnya, lihat Hubungkan ke instans ApsaraDB RDS for MySQL melalui SSL.

    Langkah 4: (Opsional) Perbarui sertifikat

    Catatan

    Memperbarui sertifikat akan melakukan restart instans untuk semua versi MySQL kecuali MySQL 8.0. Lakukan dengan hati-hati.

    Untuk memperbarui sertifikat, klik Update SSL di halaman SSL, lalu masukkan sertifikat server dan kunci privat server yang baru.

    Langkah 5: (Opsional) Nonaktifkan enkripsi SSL

    Penting

    Menonaktifkan enkripsi SSL akan melakukan restart instans. Lakukan dengan hati-hati.

    Untuk menonaktifkan enkripsi SSL, klik sakelar di samping Enabled di halaman SSL.

    FAQ

    T: Apa yang harus saya lakukan jika sertifikat kustom saya kedaluwarsa?

    J: Anda menentukan periode validitas sertifikat kustom Anda. Sistem akan memberi notifikasi sebelum sertifikat kedaluwarsa. Segera perbarui sertifikat setelah menerima notifikasi untuk menghindari gangguan pada beban kerja Anda.