ApsaraDB RDS for MySQL mendukung enkripsi SSL untuk titik akhir proksi database. Anda dapat mengaktifkan fitur enkripsi SSL dan memasang sertifikat SSL pada aplikasi untuk meningkatkan keamanan koneksi instance RDS Anda. Topik ini menjelaskan cara mengonfigurasi enkripsi SSL untuk titik akhir proksi database.
SSL mengenkripsi koneksi jaringan di lapisan transport antara instance RDS dan aplikasi. Ini meningkatkan keamanan serta integritas data yang dikirim tetapi menambah waktu respons.
Prasyarat
Instance RDS menjalankan salah satu versi MySQL berikut:
MySQL 8.0 dengan versi mesin minor 20200831 atau lebih baru pada Edisi RDS High-availability
MySQL 8.0 pada Edisi Kluster RDS
MySQL 5.7 pada Edisi Kluster RDS
MySQL 5.7 dengan versi mesin minor 20200831 atau lebih baru pada Edisi RDS High-availability
MySQL 5.6 dengan versi mesin minor 20200831 atau lebih baru pada Edisi RDS High-availability
CatatanJika instance RDS Anda memiliki instance RDS baca-saja, instance tersebut harus memenuhi persyaratan yang dijelaskan dalam Perbarui versi mesin minor.
Fitur proksi database telah diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan fitur proksi database.
Versi proksi database adalah 1.12.8 atau lebih baru. Untuk informasi lebih lanjut, lihat Tingkatkan versi proksi database.
Total panjang titik akhir proksi khusus yang ingin dilindungi tidak melebihi 64 karakter.
Catatan penggunaan
Enkripsi SSL hanya dapat dikonfigurasi untuk satu titik akhir proksi khusus per terminal proksi.
Mengaktifkan atau menonaktifkan enkripsi SSL, mengubah titik akhir proksi yang dilindungi, atau memperbarui periode validitas sertifikat SSL akan memicu restart instance proksi. Lanjutkan dengan hati-hati.
Aktifkan enkripsi SSL
Operasi ini memicu restart instance RDS. Lanjutkan dengan hati-hati.
Masuk ke Konsol ApsaraDB RDS dan buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Temukan instance RDS dan klik ID instance.
Di panel navigasi sebelah kiri, klik Database Proxy.
Di bagian Connection Information, arahkan kursor ke ID titik akhir proksi database. Pada bagian SSL Encryption Configuration dari kotak dialog yang muncul, klik Enable di sebelah kanan SSL Encryption.
Di kotak dialog yang muncul, pilih titik akhir yang ingin dienkripsi dan klik OK.
Setelah status enkripsi SSL berubah menjadi Enabled, klik Download CA Certificate di sebelah opsi SSL Encryption.
CatatanFile yang diunduh adalah paket yang berisi file berikut:
File PEM: cocok untuk sebagian besar skenario.
File JKS: cocok untuk aplikasi Java. Dalam banyak kasus, file sertifikat CA dalam format PEM harus diimpor ke truststore untuk dikonversi menjadi file JKS. Anda dapat menggunakan file JKS dalam aplikasi Java. Kata sandi file adalah apsaradb.
File P7B: cocok untuk sejumlah kecil aplikasi Windows yang memerlukan file sertifikat dalam format PKCS#7.
Anda dapat menggunakan sertifikat SSL yang telah dikonfigurasi untuk memverifikasi sertifikat server database.
Saat menggunakan file .jks dalam Java Development Kit (JDK) 7 atau JDK 8, buka direktori
jre/lib/security/java.securitydi host tempat aplikasi berada dan jalankan kode berikut untuk memodifikasi nilai default dua item konfigurasi:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024Jika Anda tidak memodifikasi konfigurasi ini, kesalahan berikut akan dilaporkan. Dalam banyak kasus, kesalahan serupa lainnya juga disebabkan oleh konfigurasi keamanan Java yang tidak valid:
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
Konfigurasikan sertifikat SSL
Setelah mengaktifkan enkripsi SSL dan mengunduh sertifikat CA, Anda dapat mengonfigurasi sertifikat SSL. Untuk informasi lebih lanjut, lihat Unduh sertifikat CA.
Ubah titik akhir proksi yang dilindungi
Operasi ini memicu pembaruan periode validitas sertifikat SSL dan restart instance RDS. Lanjutkan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Temukan instance RDS dan klik ID instance.
Di panel navigasi sebelah kiri, klik Database Proxy.
Di bagian Connection Information, arahkan kursor ke ID titik akhir proksi database. Pada bagian SSL Encryption Configuration dari kotak dialog yang muncul, klik Change Protected Endpoint di bawah Protected Endpoint.
Pilih titik akhir yang ingin dienkripsi dan klik OK.
Perbarui periode validitas sertifikat SSL
Operasi ini memicu restart instance RDS. Lanjutkan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Temukan instance RDS dan klik ID instance.
Di panel navigasi sebelah kiri, klik Database Proxy.
Di bagian Connection Information, arahkan kursor ke ID titik akhir proksi database. Pada bagian SSL Encryption Configuration dari kotak dialog yang muncul, klik Update Expiration Time di sebelah kanan SSL Certificate Expiration Time. Di kotak dialog yang muncul, klik OK.
Nonaktifkan enkripsi SSL
Operasi ini memicu restart instance RDS. Lanjutkan dengan hati-hati.
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Temukan instance RDS dan klik ID instance.
Di panel navigasi sebelah kiri, klik Database Proxy.
Di bagian Connection Information, arahkan kursor ke ID titik akhir proksi database. Pada bagian SSL Encryption Configuration dari kotak dialog yang muncul, klik Disable di sebelah kanan SSL Encryption. Di kotak dialog yang muncul, klik OK.
Operasi terkait
Operasi | Deskripsi |
Mengonfigurasi enkripsi SSL untuk titik akhir proksi database. | |
Meminta pengaturan enkripsi SSL dari titik akhir proksi database. |
Referensi
Contoh kode untuk terhubung ke database melalui SSL
Untuk informasi lebih lanjut, lihat Kode aplikasi.
FAQ tentang enkripsi SSL
Untuk informasi lebih lanjut, lihat FAQ.