全部产品
Search

搜索本产品

    ApsaraDB RDS:Konfigurasikan sertifikat cloud untuk mengaktifkan enkripsi SSL

    文档中心

    ApsaraDB RDS:Konfigurasikan sertifikat cloud untuk mengaktifkan enkripsi SSL

    更新时间:Jul 02, 2025

    Topik ini menjelaskan cara mengonfigurasi enkripsi SSL untuk instans ApsaraDB RDS for PostgreSQL. Enkripsi SSL digunakan untuk melindungi koneksi antara klien database dan instans RDS, memastikan keamanan data yang ditransmisikan. Topik ini juga mencakup konfigurasi sertifikat cloud untuk mengaktifkan enkripsi SSL.

    Informasi latar belakang

    SSL adalah protokol yang dikembangkan untuk memastikan komunikasi aman dan melindungi data. Mulai dari SSL 3.0, protokol ini diubah namanya menjadi TLS.

    Catatan

    ApsaraDB RDS for PostgreSQL mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

    Tabel berikut membandingkan konfigurasi enkripsi SSL dan manfaatnya di antara berbagai jenis sertifikat.

    Item

    Sertifikat Cloud

    Sertifikat Kustom

    Sertifikat CA Klien

    Tujuan

    Sertifikat server (database) yang digunakan oleh klien untuk mengotentikasi server.

    Sertifikat server (database) yang digunakan oleh klien untuk mengotentikasi server.

    Sertifikat klien yang digunakan oleh server (database) untuk mengotentikasi klien.

    Cara Mendapatkan

    Diterbitkan oleh Alibaba Cloud.

    Diterbitkan oleh otoritas sertifikasi (CA) atau dari sertifikat tanda tangan sendiri.

    Diterbitkan dari sertifikat tanda tangan sendiri.

    Masa Berlaku

    365 hari.

    Disesuaikan.

    Disesuaikan.

    Jumlah Titik Akhir yang Dilindungi

    1

    1 atau lebih.

    Bervariasi berdasarkan sertifikat cloud atau sertifikat kustom yang digunakan. Jumlah titik akhir yang dilindungi tidak bervariasi berdasarkan sertifikat CA yang digunakan.

    Catatan

    • Anda harus mengonfigurasi sertifikat cloud atau sertifikat kustom untuk mengaktifkan enkripsi SSL dan mengotentikasi server (database).

    • Anda dapat memilih untuk tidak mengonfigurasi sertifikat CA klien, yang digunakan oleh server untuk mengotentikasi klien.

    Prasyarat

    • Instans RDS menjalankan PostgreSQL 10 atau versi lebih baru dan menggunakan disk cloud.

      Catatan

      Instans RDS tanpa server tidak didukung.

    • Klien pgAdmin 4 telah diunduh. Untuk informasi lebih lanjut, lihat pgAdmin 4.

    Catatan penggunaan

    • Sertifikat cloud tetap berlaku selama satu tahun. Jika sertifikat cloud akan kedaluwarsa, Alibaba Cloud akan memberi tahu Anda melalui email, dan pesan internal serta secara otomatis memperpanjang sertifikat cloud dalam periode waktu tertentu. Anda dapat menyesuaikan waktu perpanjangan sertifikat SSL di kotak dialog Schedule Event. Untuk informasi lebih lanjut, lihat Kelola Event Terjadwal.

    • Setelah enkripsi SSL diaktifkan, pemanfaatan CPU dan latensi baca-tulis meningkat.

    • Setelah enkripsi SSL diaktifkan, Anda harus menutup koneksi yang ada dan membuat koneksi baru agar enkripsi SSL berlaku.

    • Saat mengonfigurasi sertifikat cloud, mengubah titik akhir yang dilindungi oleh sertifikat cloud yang dikonfigurasi, atau menonaktifkan enkripsi SSL, instans RDS akan restart. Proses restart membutuhkan waktu sekitar 3 menit. Kami sarankan Anda melakukan operasi ini selama jam-jam sepi.

    Langkah 1: Gunakan sertifikat cloud untuk mengaktifkan enkripsi SSL

    Dalam topik ini, sertifikat cloud digunakan untuk menjelaskan cara mengonfigurasi enkripsi SSL.

    1. Buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Kemudian, temukan instans RDS dan klik ID instans tersebut.

    2. Masuk ke konsol ApsaraDB RDS. Temukan instans RDS dan klik ID instans tersebut. Di panel navigasi sisi kiri halaman yang muncul, klik Data Security. Pada halaman yang muncul, klik tab SSL.

      Catatan

      Jika tab SSL tidak muncul, Anda harus memeriksa apakah instans RDS memenuhi persyaratan di Prasyarat.

    3. Pilih Cloud Certificate. Klik Configuration di sebelah Configure Database Certificate (to Prevent Database Disguise) dan pilih titik akhir yang ingin Anda lindungi.

      Pilih titik akhir yang dilindungi

      Catatan

      • Jika Anda belum mengajukan titik akhir publik, kotak dialog Select Protected Endpoint hanya menampilkan titik akhir internal instans RDS. Jika Anda telah mengajukan titik akhir publik, baik titik akhir internal maupun titik akhir publik instans RDS ditampilkan. Namun, setiap sertifikat cloud hanya dapat melindungi satu titik akhir. Titik akhir internal lebih aman daripada titik akhir publik. Oleh karena itu, kami sarankan Anda melindungi titik akhir publik. Untuk informasi lebih lanjut tentang cara melihat titik akhir internal dan titik akhir publik, lihat Lihat dan Ubah Titik Akhir Internal dan Publik serta Nomor Port Instans ApsaraDB RDS for PostgreSQL.

      • Untuk informasi lebih lanjut tentang cara melindungi titik akhir internal dan titik akhir publik secara bersamaan, lihat Gunakan Sertifikat Kustom untuk Mengaktifkan Fitur Enkripsi SSL.

      • Setelah Anda mengonfigurasi sertifikat cloud, status instans RDS berubah menjadi Modifying SSL Settings. Instans RDS tetap dalam keadaan ini selama sekitar 3 menit. Tunggu hingga instans RDS masuk ke keadaan Running sebelum Anda melanjutkan dengan operasi berikutnya.

    Langkah 2: Unduh sertifikat CA server

    Setelah Anda mengonfigurasi sertifikat cloud, Anda harus mengunduh dan menyimpan sertifikat CA server (database) ke klien Anda. Saat terhubung ke instans RDS dari klien, Anda dapat menggunakan sertifikat CA server (database) untuk mengotentikasi instans RDS.

    1. Pilih Cloud Certificate. Kemudian, klik Download CA Certificate.

      Unduh Sertifikat CA

    2. Ekstrak file yang Anda unduh.

      File yang Anda unduh adalah paket yang berisi file-file berikut:

      • File PEM: cocok untuk sebagian besar skenario.

      • File JKS: Dalam kebanyakan kasus, file sertifikat otoritas sertifikasi (CA) dalam format PEM harus diimpor ke truststore untuk dikonversi menjadi file JKS untuk digunakan dalam aplikasi Java. Kata sandinya adalah apsaradb.

      • File P7B: cocok untuk sejumlah kecil aplikasi Windows yang memerlukan file sertifikat dalam format PKCS#7.

    Langkah 3: Terhubung ke instans RDS dari klien database

    Dalam contoh ini, pgAdmin digunakan untuk menjelaskan cara terhubung ke instans RDS melalui SSL.

    Anda dapat terhubung ke instans RDS dengan menggunakan beberapa metode, seperti klien baris perintah psql dan Java Database Connectivity (JDBC). Untuk informasi lebih lanjut, lihat Terhubung ke Instans ApsaraDB RDS for PostgreSQL Melalui Koneksi SSL.

    Catatan

    1. Jalankan pgAdmin 4.

      Catatan

      Jika ini pertama kalinya Anda masuk ke pgAdmin versi terbaru, Anda harus menentukan kata sandi utama yang digunakan untuk melindungi kata sandi dan kredensial lain yang disimpan.

    2. Klik kanan Servers dan pilih Register > Server.

    3. Pada tab General kotak dialog Daftarkan - Server, masukkan nama server tempat pgAdmin diinstal.

    4. Klik tab Connection dan masukkan informasi yang digunakan untuk terhubung ke instans RDS. Informasi Koneksi

      Parameter

      Deskripsi

      Host name/address

      Titik akhir dan port yang digunakan untuk terhubung ke instans RDS.

      • Jika Anda ingin terhubung ke instans RDS melalui jaringan internal, masukkan titik akhir internal dan port internal instans RDS.

      • Jika Anda ingin terhubung ke instans RDS melalui Internet, masukkan titik akhir publik dan port publik instans RDS.

      Anda dapat melihat informasi di atas di halaman Koneksi Database instans RDS.

      Untuk informasi lebih lanjut, lihat Lihat dan ubah titik akhir dan nomor port instans ApsaraDB RDS for PostgreSQL.

      Port

      Username

      Nama pengguna dan kata sandi yang digunakan untuk masuk ke instans RDS.

      Untuk informasi lebih lanjut tentang cara membuat akun pada instans RDS, lihat Buat database dan akun.

      Password

    5. Di tab Parameters, konfigurasikan parameter terkait mode otentikasi SSL dan sertifikat.

      Parameter

      Deskripsi

      SSL mode

      Untuk tujuan keamanan, kami sarankan Anda mengatur parameter ini ke Require, Verify-CA, atau Verify-Full. Daftar berikut memberikan arti dari nilai-nilai berbeda dari parameter mode SSL:

      • Require: Klien database mengenkripsi koneksi SSL yang digunakan untuk mentransmisikan data. Namun, klien database tidak memvalidasi instans RDS.

      • Verify-CA: Klien database mengenkripsi koneksi SSL yang digunakan untuk mentransmisikan data dan memvalidasi instans RDS.

      • Verify-Full: Klien database mengenkripsi koneksi SSL yang digunakan untuk mentransmisikan data, memvalidasi instans RDS, dan memeriksa apakah CN atau Domain Name System (DNS) yang ditentukan dalam sertifikat CA server konsisten dengan nilai parameter Host name/address yang Anda atur saat pembuatan koneksi.

      Root certificate

      Jika Anda mengatur parameter SSL mode ke Verify-CA atau Verify-Full, Anda harus mengatur parameter Sertifikat Root ke jalur penyimpanan file yang berisi sertifikat CA server.

      Catatan

      • Dalam contoh ini, file yang berisi sertifikat CA server diunduh dari tab SSL dan kemudian diekstrak ke jalur D:\CA\aliyunCA\ di komputer Anda. Anda dapat mengubah jalur sesuai dengan kebutuhan bisnis Anda.

      • Di pgAdmin, file yang berisi sertifikat CA server dalam format PEM.

    6. Klik Save.

      Jika informasi yang Anda masukkan benar, halaman yang ditunjukkan pada gambar berikut muncul, yang menunjukkan bahwa koneksi ke instans RDS berhasil.

      Penting

      Database postgres adalah database sistem default. Jangan melakukan operasi pada database postgres.