RDS for MySQL mendukung enkripsi Secure Sockets Layer (SSL) untuk titik akhir proxy database. Anda dapat mengaktifkan enkripsi SSL dan menginstal sertifikat SSL CA pada aplikasi Anda guna meningkatkan keamanan koneksi. Topik ini menjelaskan cara mengonfigurasi enkripsi SSL untuk titik akhir proxy database.
SSL mengenkripsi koneksi jaringan pada lapisan transport, sehingga meningkatkan keamanan dan integritas data saat transit, meskipun juga menambah waktu respons.
Prasyarat
Versi Milvus adalah sebagai berikut:
MySQL 8.0 pada RDS High-availability Edition dengan versi mesin minor 20200831 atau yang lebih baru
MySQL 8.0 Cluster Edition
MySQL 5.7 Cluster Edition
MySQL 5.7 pada RDS High-availability Edition dengan versi mesin minor 20200831 atau yang lebih baru
MySQL 5.6 pada RDS High-availability Edition dengan versi mesin minor 20200831 atau yang lebih baru
CatatanJika instans RDS Anda memiliki instansi hanya baca, instansi tersebut juga harus memenuhi persyaratan versi mesin minor.
Anda telah mengaktifkan fitur database proxy. Untuk informasi selengkapnya, lihat Aktifkan fitur database proxy.
Versi mesin minor PolarProxy adalah 2.25.3 atau yang lebih baru.
Panjang total titik akhir proxy database yang ingin Anda lindungi dengan enkripsi SSL tidak melebihi 64 karakter.
Catatan penggunaan
Anda hanya dapat mengonfigurasi enkripsi SSL untuk satu titik akhir proxy database per instans proxy.
Mengaktifkan enkripsi SSL, menonaktifkan enkripsi SSL, mengubah titik akhir yang dilindungi, atau memperbarui periode validitas sertifikat akan menyebabkan restart instans proxy Anda. Lakukan dengan hati-hati.
Aktifkan enkripsi SSL
Operasi ini akan menyebabkan restart instans proxy Anda. Lakukan dengan hati-hati.
Buka halaman RDS Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS Anda berada, lalu klik ID instans tersebut.
Di panel navigasi sebelah kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proxy database yang dituju. Pada bagian SSL Configuration di kotak dialog yang muncul, klik Enable di sebelah kanan SSL Certificate.
Pada kotak dialog yang muncul, pilih titik akhir yang akan dienkripsi, lalu klik OK.
Setelah status SSL berubah menjadi Enabled, klik Download CA Certificate di sebelah kanan SSL Certificate.
CatatanFile yang diunduh merupakan paket terkompresi yang berisi file-file berikut:
File PEM: cocok untuk sebagian besar skenario.
File JKS: diperlukan untuk aplikasi Java. Anda harus mengimpor sertifikat CA dalam format PEM ke dalam truststore dan mengonversinya menjadi file JKS untuk digunakan dalam aplikasi Java. Kata sandi untuk file JKS adalah apsaradb.
File P7B: cocok untuk sejumlah kecil aplikasi Windows yang memerlukan file sertifikat PKCS #7.
Setelah Anda mengonfigurasi sertifikat SSL CA, Anda dapat memverifikasi sertifikat server database.
Saat menggunakan file sertifikat JKS pada JDK 7 atau JDK 8, buka file
jre/lib/security/java.securitypada host tempat aplikasi Anda berjalan dan perbarui dua item konfigurasi berikut:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024Jika Anda tidak memperbarui konfigurasi ini, kesalahan berikut akan muncul. Sebagian besar kesalahan serupa juga disebabkan oleh pengaturan keamanan Java yang salah:
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
Konfigurasikan sertifikat SSL CA
Setelah Anda mengaktifkan enkripsi SSL dan mengunduh sertifikat CA, Anda harus mengonfigurasi sertifikat tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan sertifikat CA.
Ubah alamat enkripsi SSL
Operasi ini memperbarui periode validitas sertifikat dan menyebabkan restart instans proxy Anda. Lakukan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada, lalu temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proxy database yang dituju. Pada bagian SSL Configuration di kotak dialog yang muncul, klik Change Protected Endpoint di bawah Protected Endpoint.
Pilih titik akhir yang akan dienkripsi, lalu klik OK.
Perbarui periode validitas sertifikat
Operasi ini akan menyebabkan restart instans proxy Anda. Lakukan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada, lalu temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proxy database yang dituju. Pada bagian SSL Configuration di kotak dialog yang muncul, klik Update Expiration Time di sebelah kanan SSL Certificate. Pada kotak dialog yang muncul, klik OK.
Nonaktifkan enkripsi SSL
Instans akan melakukan restart jika Anda menonaktifkan enkripsi Secure Sockets Layer (SSL). Lakukan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada, lalu temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri, klik Database Proxy.
Pada bagian Connection Information, arahkan kursor ke ID titik akhir proxy database yang dituju. Pada bagian SSL Configuration di kotak dialog yang muncul, klik Disable di sebelah kanan SSL Certificate. Pada kotak dialog yang muncul, klik OK.
API Terkait
API | Deskripsi |
Mengonfigurasi enkripsi SSL untuk titik akhir proxy database. | |
Menanyakan pengaturan enkripsi SSL untuk titik akhir proxy database. |
Lampiran
Kode contoh untuk menghubungkan ke database melalui SSL
Untuk informasi selengkapnya, lihat Kode contoh untuk menghubungkan ke database melalui SSL.
FAQ tentang enkripsi SSL
Untuk informasi selengkapnya, lihat FAQ tentang enkripsi SSL.