Konfigurasikan enkripsi SSL untuk proksi database RDS for MySQL - ApsaraDB RDS

RDS for MySQL mendukung enkripsi Secure Sockets Layer (SSL) untuk titik akhir proksi database. Anda dapat mengaktifkan enkripsi SSL dan menginstal sertifikat CA pada aplikasi Anda guna mengamankan data dalam transit. Topik ini menjelaskan cara mengonfigurasi enkripsi SSL untuk proksi database.

SSL mengenkripsi koneksi jaringan pada lapisan transport, sehingga mengamankan data dalam transit dan menjamin integritasnya. Namun, hal ini juga dapat sedikit meningkatkan waktu respons koneksi.

Prasyarat

Versi mesin instans: MySQL 8.4, 8.0, 5.7, atau 5.6
Edisi produk: Edisi Kluster atau Edisi Ketersediaan Tinggi
Catatan
- Jika instans memiliki instansi hanya baca, instansi tersebut juga harus memenuhi persyaratan versi mesin minor.
- Untuk instans Edisi Ketersediaan Tinggi yang menjalankan MySQL 8.0, 5.7, atau 5.6, versi mesin minor harus 20200831 atau lebih baru.
Proksi database diaktifkan.
Versi mesin minor proksi database adalah 2.25.3 atau lebih baru.
Titik akhir proksi database target harus terdiri dari 64 karakter atau kurang.

Catatan penggunaan

Enkripsi SSL hanya dapat diaktifkan untuk satu titik akhir proksi database per terminal proksi.
Mengaktifkan atau menonaktifkan enkripsi SSL, mengubah titik akhir terenkripsi, atau memperbarui periode validitas sertifikat akan menyebabkan restart instans proksi. Lakukan dengan hati-hati.

Aktifkan enkripsi SSL

Penting

Mengaktifkan enkripsi SSL akan menyebabkan restart instans proksi. Lakukan dengan hati-hati.

Buka halaman Instans RDS, pilih wilayah di bagian atas, lalu klik ID instans target.
Pada panel navigasi kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proksi database target. Pada kotak dialog yang muncul, buka bagian SSL Encryption Configuration dan klik Activate di samping SSL Encryption.
Pada kotak dialog yang muncul, pilih titik akhir yang ingin Anda enkripsi, lalu klik OK.
Setelah status SSL berubah menjadi On, klik Download CA Certificate di samping SSL Encryption.
Catatan
- File yang diunduh merupakan arsip terkompresi yang berisi tiga file berikut:
  - File PEM: Cocok untuk sebagian besar kasus penggunaan.
  - File JKS: Biasanya, aplikasi Java mengharuskan Anda mengimpor sertifikat PEM ke dalam truststore JKS. Anda dapat langsung menggunakan file JKS ini di aplikasi Java Anda. Kata sandinya adalah apsaradb.
  - File P7B: Cocok untuk beberapa aplikasi Windows yang memerlukan file sertifikat PKCS #7.
- Setelah Anda mengonfigurasi sertifikat CA SSL, Anda dapat memverifikasi sertifikat server database.
- Jika Anda menggunakan file sertifikat JKS pada Java Development Kit (JDK) 7 atau 8, Anda harus mengubah pengaturan keamanan default. Pada host aplikasi Anda, buka file jre/lib/security/java.security dan ubah dua parameter berikut:
```
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
```
  Jika Anda tidak mengubah konfigurasi keamanan, Anda mungkin menerima error seperti berikut. Error serupa umumnya disebabkan oleh konfigurasi keamanan Java.
```
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
```

Konfigurasikan sertifikat CA

Setelah Anda mengaktifkan enkripsi SSL dan mengunduh sertifikat CA, Anda dapat mengonfigurasi sertifikat CA tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan sertifikat CA.

Ubah titik akhir terenkripsi SSL

Penting

Mengubah titik akhir terenkripsi SSL akan memperbarui periode validitas sertifikat dan menyebabkan restart instans proksi. Lakukan dengan hati-hati.

Buka halaman Instances. Pada bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Pada panel navigasi kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proksi database target. Pada kotak dialog yang muncul, buka bagian SSL Encryption Configuration dan klik Change Protected Endpoint di bawah Protected Endpoint.
Pilih titik akhir yang ingin Anda enkripsi, lalu klik OK.

Perbarui masa berlaku sertifikat

Penting

Memperbarui periode validitas sertifikat akan menyebabkan restart instans proksi. Lakukan dengan hati-hati.

Buka halaman Instances. Pada bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Pada panel navigasi kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proksi database target. Pada kotak dialog yang muncul, buka bagian SSL Encryption Configuration dan klik Update Expiration Time di samping SSL Encryption. Klik OK pada kotak dialog konfirmasi berikutnya.

Nonaktifkan enkripsi SSL

Penting

Menonaktifkan enkripsi SSL akan menyebabkan restart instans proksi. Lakukan dengan hati-hati.

Buka halaman Instances. Pada bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Pada panel navigasi kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proksi database target. Pada kotak dialog yang muncul, buka bagian SSL Encryption Configuration dan klik Close di samping SSL Encryption. Klik OK pada kotak dialog konfirmasi berikutnya.

Referensi API

API	Deskripsi
ModifyDbProxyInstanceSsl	Mengonfigurasi enkripsi SSL untuk titik akhir proksi database.
GetDbProxyInstanceSsl	Menanyakan informasi enkripsi SSL titik akhir proksi database.

Lampiran

Kode contoh koneksi SSL

Untuk informasi selengkapnya, lihat Kode contoh untuk menghubungkan ke database melalui SSL.

FAQ enkripsi SSL

Untuk informasi selengkapnya, lihat FAQ tentang enkripsi SSL.