aktifkan enkripsi tls, pertimbangan, dan prasyarat - Tair (Redis® OSS-Compatible)

Tair (Redis OSS-compatible) mendukung protokol Transport Layer Security (TLS). TLS menawarkan enkripsi yang lebih kuat dan keamanan yang lebih tinggi dibandingkan dengan protokol Secure Sockets Layer (SSL) yang sudah usang. Hal ini membantu melindungi data Anda selama transmisi.

Informasi Latar Belakang

TLS dibangun di atas protokol SSL yang sudah tidak digunakan lagi dan menjadi standar kriptografi yang banyak digunakan untuk menyediakan keamanan komunikasi melalui jaringan komputer. Dibandingkan dengan SSL, TLS memiliki keunggulan berikut:

Enkripsi ditingkatkan: menggunakan teknologi yang lebih kuat seperti Algoritma Standar Enkripsi Lanjutan (AES).
Keamanan ditingkatkan: menggunakan algoritma dan protokol yang lebih aman seperti Secure Hash Algorithm 2 (SHA-2).
Kompatibilitas ditingkatkan: bertindak sebagai protokol terbaru yang kompatibel dengan lebih banyak browser dan server serta mendukung lebih banyak protokol enkripsi dan paket sandi.
Pembaruan tepat waktu: mendukung pembaruan real-time dari algoritma dan protokol enkripsi.

Jika Anda ingin mengenkripsi koneksi jaringan pada lapisan transport, kami merekomendasikan penggunaan TLS. Secara default, TLS dinonaktifkan.

Prasyarat

Instans harus memenuhi persyaratan berikut:

Instans adalah Tair (Enterprise Edition) instans optimasi memori atau memori persisten, atau Redis Edisi Open-Source versi 5.0, 6.0, atau 7.0.
Instans menggunakan arsitektur master-replika untuk memastikan high availability.
Jika titik akhir publik dialokasikan ke instans, lepaskan titik akhir tersebut. Anda hanya dapat mengaktifkan enkripsi TLS setelah titik akhir publik dilepaskan.
Catatan
Jika titik akhir pribadi dialokasikan ke instans kluster berbasis disk lokal, lepaskan titik akhir pribadi sebelum mengaktifkan enkripsi TLS.

Pertimbangan

Membuat koneksi TLS memerlukan beberapa langkah jabat tangan, seperti otentikasi dan pertukaran kunci. Langkah-langkah ini mengonsumsi sumber daya komputasi dan waktu yang signifikan, sehingga membuat pembuatan koneksi TLS lebih lambat dibandingkan koneksi standar. Anda tidak dapat membuat banyak koneksi TLS dalam periode singkat. Membuat koneksi TLS secara sering meningkatkan latensi permintaan normal secara signifikan. Oleh karena itu, gunakan koneksi TLS persisten untuk mengurangi overhead ini. Hindari membuat dan menghapus koneksi TLS secara sering untuk meminimalkan dampak kinerja.
Setelah koneksi TLS dibuat, mentransfer data melalui koneksi tersebut menimbulkan overhead tambahan karena semua data harus dienkripsi dan didekripsi. Overhead ini meningkat seiring dengan ukuran konten.
Catatan
Dampak kinerja spesifik bervariasi menurut skenario. Anda harus melakukan pengujian untuk mengevaluasi dampaknya dalam lingkungan spesifik Anda.
Setelah mengaktifkan enkripsi TLS, Anda tidak dapat lagi meminta titik akhir publik untuk instans. Untuk instans kluster dalam jaringan klasik, Anda juga tidak dapat meminta titik akhir koneksi langsung. Klien hanya dapat terhubung ke instans melalui virtual private cloud (VPC) menggunakan enkripsi TLS. Untuk contoh koneksi, lihat Aktifkan koneksi terenkripsi TLS (SSL) ke instans.
Setelah mengaktifkan enkripsi TLS, Anda tidak dapat memigrasikan instans ke zona lain.
Setelah mengaktifkan enkripsi TLS, jika Anda mengubah titik akhir atau nomor port instans, Anda harus memperbarui sertifikat TLS instans sebelum terhubung. Jika tidak, kesalahan No subject alternative DNS name matching xxx found akan dilaporkan.

Prosedur

Masuk ke konsol dan buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans yang ingin Anda kelola berada. Kemudian, temukan instans dan klik ID instans.
Di panel navigasi di sebelah kiri, klik TLS (SSL) Settings.
Klik Enable With One Click.
Di kotak dialog yang muncul, pilih TLS Version.
Deskripsi parameter:
- TLSv1.3 (Direkomendasikan): RFC 8446, diterbitkan pada tahun 2018. Dibandingkan dengan TLSv1.2, TLSv1.3 lebih cepat dan lebih aman.
- TLSv1.2 (Direkomendasikan): RFC 5246, diterbitkan pada tahun 2008. Menggunakan teknologi enkripsi kuat untuk memberikan tingkat keamanan yang tinggi.
- TLSv1.1: RFC 4346, diterbitkan pada tahun 2006. Memperbaiki beberapa kerentanan di TLSv1.0.
- TLSv1.0: RFC 2246, diterbitkan pada tahun 1999. Berdasarkan SSLv3.0. Versi ini rentan terhadap berbagai serangan, seperti BEAST dan POODLE.
Klik OK.
Peringatan
Operasi ini me-restart instans, yang dapat menyebabkan kesalahan koneksi sementara yang berlangsung selama beberapa detik. Kami merekomendasikan Anda melakukan operasi ini selama jam-jam sepi dan pastikan aplikasi Anda dikonfigurasi untuk otomatis tersambung kembali.
Anda kemudian dapat menyegarkan halaman konsol untuk memeriksa status fitur TLS.
Setelah mengaktifkan TLS, Anda dapat mengklik Download CA certificate di halaman untuk mengimpor sertifikat CA ke klien Anda. File yang diunduh adalah paket terkompresi yang berisi tiga file berikut:
- ApsaraDB-CA-Chain.p7b: Digunakan untuk mengimpor sertifikat CA di Windows.
- ApsaraDB-CA-Chain.pem: Digunakan untuk mengimpor sertifikat CA di sistem lain, seperti Linux, atau di aplikasi.
- ApsaraDB-CA-Chain.jks: File penyimpanan sertifikat truststore untuk Java. Digunakan untuk mengimpor rantai sertifikat CA ke program Java.
Sertifikat CA yang diunduh untuk instans yang berbeda sama. File sertifikat tidak dilindungi kata sandi. Anda dapat menggunakannya untuk terhubung ke semua instans Tair di bawah akun Anda.

Kelola Pengaturan Enkripsi TLS

Setelah mengaktifkan enkripsi TLS untuk instans, Anda dapat melakukan operasi berikut.

Masuk ke konsol dan buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans yang ingin Anda kelola berada. Kemudian, temukan instans dan klik ID instans.
Di panel navigasi di sebelah kiri, klik TLS (SSL) Settings.

Lakukan salah satu operasi berikut sesuai kebutuhan.

Operasi	Deskripsi
Perbarui sertifikat CA	Di halaman, klik Update Certificate, lalu klik OK. Saat Anda mengaktifkan enkripsi TLS, sertifikat memiliki periode validitas default selama 3 tahun. Anda tidak dapat menyesuaikan periode validitas. Sistem memulai peristiwa O&M untuk memperbarui sertifikat 20 hari sebelum kedaluwarsa. Anda dapat pergi ke Event Management > Scheduled Events untuk mengubah waktu O&M. Anda juga dapat mengklik Update Certificate kapan saja. Setelah diperbarui, sertifikat berlaku selama 3 tahun lagi. Peringatan Operasi ini menyebabkan kesalahan koneksi sementara yang berlangsung selama beberapa detik. Lakukan operasi ini selama jam-jam sepi dan pastikan aplikasi Anda dikonfigurasi untuk otomatis tersambung kembali.
Ubah versi TLS	Klik ikon di sebelah kanan TLS Version, lalu pilih versi TLS yang ingin Anda gunakan dari daftar drop-down. Kami merekomendasikan menggunakan versi TLSv1.2. Catatan Jika daftar drop-down TLS minimum version tidak tersedia, tingkatkan versi minor instans dan coba lagi. Untuk informasi lebih lanjut, lihat atau Tingkatkan versi minor dan versi proxy.
Nonaktifkan enkripsi TLS	Matikan sakelar di sebelah kanan TLS Status. Peringatan Operasi ini me-restart instans. Kesalahan koneksi sementara yang berlangsung selama beberapa detik mungkin terjadi. Lakukan operasi ini selama jam-jam sepi dan pastikan aplikasi Anda dikonfigurasi untuk otomatis tersambung kembali.

Setelah memperbarui sertifikat atau mengubah versi TLS, Anda tidak perlu mengunduh file sertifikat lagi. Anda dapat terus menggunakan file yang ada.

API Terkait

API	Deskripsi
ModifyInstanceTLS	Mengonfigurasi fitur enkripsi TLS (SSL) untuk instans.

Apa yang Harus Dilakukan Selanjutnya

Aktifkan koneksi terenkripsi TLS (SSL) ke instans

FAQ

Mengapa saya tidak bisa mengaktifkan fitur TLS untuk instans saya?
Jika instans Anda menggunakan arsitektur pemisahan baca/tulis dalam jaringan klasik, Anda tidak dapat mengaktifkan fitur TLS.