データ転送のセキュリティを向上させるために、SSL 暗号化を有効にし、認証局 (CA) によって発行された SSL 証明書を必要なアプリケーションにインストールできます。SSL は、トランスポート層での接続を暗号化するために使用されます。SSL は、転送されるデータのセキュリティと整合性を強化し、第三者によるデータの盗聴、傍受、改ざんを防ぎます。ただし、SSL 暗号化はネットワーク接続の応答時間を増加させます。このトピックでは、AnalyticDB for MySQL クラスタの SSL 暗号化を有効および無効にする方法、SSL 証明書の有効期間を更新する方法について説明します。
前提条件
V3.2.1.0 以降の AnalyticDB for MySQL クラスタが作成されていること。
AnalyticDB for MySQL クラスタのマイナーバージョンを表示および更新するには、マイナーバージョンを表示および更新するにログインし、AnalyticDB for MySQL コンソール にログインして、構成情報 セクションの クラスター情報 ページに移動します。
背景情報
SSL は、Web サーバーとブラウザ間の暗号化された通信を可能にするために Netscape によって開発されました。SSL は、RC4、MD5、RSA など、さまざまな暗号化アルゴリズムをサポートしています。インターネットエンジニアリングタスクフォース (IETF) は、SSL 3.0 を Transport Layer Security (TLS) にアップグレードしました。ただし、「SSL 暗号化」という用語は業界で依然として使用されています。このトピックでは、SSL 暗号化は TLS 暗号化を指します。
データセキュリティを確保するために、AnalyticDB for MySQL では TLS 1.2 を使用することをお勧めします。
使用上の注意
SSL 証明書の有効期間は 1 年です。使用されている SSL 証明書の有効期限が切れる前に、SSL 証明書の有効期間を更新する必要があります。そうしないと、暗号化されたネットワーク接続を使用するアプリケーションまたはクライアントは、AnalyticDB for MySQL クラスタに接続できません。
SSL 暗号化は、CPU 使用率の大幅な増加を引き起こす可能性があります。ビジネス要件に基づいて SSL 暗号化を有効にすることをお勧めします。
AnalyticDB for MySQL クラスタの SSL 暗号化を有効または無効にする場合、または SSL 証明書の有効期間を更新する場合、クラスタが再起動され、一時的な接続が発生する可能性があります。オフピーク時に操作を実行し、アプリケーションがクラスタに自動的に再接続できることを確認することをお勧めします。
SSL 暗号化を有効にする
AnalyticDB for MySQL コンソール にログインします。コンソールの左上隅で、リージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。クラスターリスト ページで、エディションタブをクリックします。管理するクラスタを見つけ、クラスタ ID をクリックします。
SSL 構成ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、[クラスタ設定] をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブをクリックし、[SSL ステータス] をオンにします。
[SSL 暗号化の構成] ダイアログボックスで、保護されたエンドポイントを選択し、[OK] をクリックします。
重要AnalyticDB for MySQL では、プライベートエンドポイントまたはパブリックエンドポイントの SSL 暗号化を構成できますが、両方を構成することはできません。SSL 暗号化機能を有効にした後、[SSL 暗号化の構成] をクリックして、保護されたエンドポイントを変更できます。変更後、証明書は自動的に更新され、AnalyticDB for MySQL クラスタが再起動されます。。変更後、証明書は自動的に更新され、AnalyticDB for MySQL クラスターが再起動されます。
AnalyticDB for MySQL クラスタのパブリックエンドポイントを暗号化するには、パブリックエンドポイントを申請する必要があります。
[SSL ステータス] をオンにした後、[証明書のダウンロード] をクリックします。
ダウンロードしたパッケージには、次のファイルが含まれています。
P7B ファイル: Windows オペレーティングシステムで使用される SSL 証明書ファイル。
PEM ファイル: Windows 以外のオペレーティングシステム、または Windows 上で実行されていないアプリケーションで使用される SSL 証明書ファイル。
JKS ファイル: Java でサポートされているトラストストアに格納されている CA 証明書ファイル。このファイルを使用して、CA 証明書チェーンを Java ベースのアプリケーションにインポートできます。デフォルトのパスワードは apsaradb です。
JDK 7 または JDK 8 で JKS ファイルを使用する場合は、アプリケーションがデプロイされているホストの jre/lib/security/Java.security ファイルで、次のデフォルトの JDK セキュリティ設定項目を変更する必要があります。
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024上記の構成を変更しないと、次のエラーが返されます。ほとんどの場合、同様のエラーは無効な Java セキュリティ構成が原因です。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
SSL 証明書の有効期間を更新する
AnalyticDB for MySQL コンソール にログインします。コンソールの左上隅で、リージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。クラスターリスト ページで、エディションタブをクリックします。管理するクラスタを見つけ、クラスタ ID をクリックします。
SSL 構成ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、[クラスタ設定] をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブをクリックし、[有効期間の更新] をクリックします。
SSL 暗号化を無効にする
AnalyticDB for MySQL コンソール にログインします。コンソールの左上隅で、リージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。クラスターリスト ページで、エディションタブをクリックします。管理するクラスタを見つけ、クラスタ ID をクリックします。
SSL 構成ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、[クラスタ設定] をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブをクリックし、[SSL ステータス] をオフにします。
[SSL 暗号化の無効化] メッセージで、[OK] をクリックします。
関連操作
操作 | 説明 |
AnalyticDB for MySQL Data Warehouse Edition クラスタの SSL 構成を変更します。 | |
AnalyticDB for MySQL Data Warehouse Edition クラスタの SSL 構成を照会します。 |