ApsaraDB RDS for SQL ServerのSecure Sockets Layer (SSL) 暗号化機能は、転送中のデータの暗号化に使用されます。 この機能は、内部ネットワークまたはインターネットを介した接続のコンプライアンスとセキュリティが必要なシナリオに適しています。 この機能により、Alibaba Cloudが提供する証明書またはカスタム証明書を使用して、転送中のデータを暗号化できます。 この機能により、RDSインスタンスの内部エンドポイントに確立された接続に対して、強制的なSSL暗号化を実行することもできます。 これにより、転送中のデータの機密性が確保されます。
説明
SSL暗号化機能を使用して、RDSインスタンスとクライアント間で送信されるデータを暗号化できます。 これにより、データが第三者によって盗聴、傍受、または改ざんされるのを防ぎます。
SSL暗号化機能を有効にすると、RDSインスタンスとクライアント間で確立されている接続に対して強制的なSSL暗号化を実行するかどうかを判断できます。
RDSインスタンスのSSL暗号化機能を有効にすると、サーバー証明書、公開鍵、および秘密鍵が生成されます。
暗号化された接続が確立されると、システムは、公開鍵を含むサーバ証明書をクライアントに送信する。 クライアントは、受信した公開鍵を用いて、生成した対称鍵を暗号化する。 次に、システムは、秘密鍵を使用して対称鍵を復号化する。 このように、RDSインスタンスとクライアントは対称キーを使用してデータを暗号化および復号化します。 これにより、通信の機密性が確保される。 クライアントは、認証局 (CA) 証明書を使用して、受信したサーバー証明書を検証し、RDSインスタンスのIDを確認し、中間者攻撃を防ぐこともできます。
トランスポート層セキュリティ (TLS) は、SSLの直接の後継です。 このトピックでは、SSLはTLSとSSLを指します。
ApsaraDB RDS for SQL Serverは、TLS 1.0、TLS 1.1、およびTLS 1.2をサポートしています。
前提条件
暗号化にカスタムキーを使用する前に、次の要件が満たされていることを確認してください。
Object Storage Service (OSS) が有効化されています。 詳細については、「OSSの有効化」をご参照ください。
ApsaraDB RDSのサービスアカウントは、Alibaba Cloudアカウントを使用してOSSバケットにアクセスすることで承認されます。
カスタム証明書は
PFX
形式で、OSSバケットにアップロードされます。詳細については、「OSSコンソールを使用して開始する」、「マルチパートアップロード」、および「ossbrowserを使用する」をご参照ください。
使用上の注意
RDSインスタンスの読み書き分離エンドポイントへの接続では、SSL暗号化機能はサポートされていません。 詳細については、「読み取り専用ルーティングエンドポイントを有効にして読み書き分離を有効にする」をご参照ください。
SSL証明書は1年間有効です。 使用済みSSL証明書の有効期限が切れる前に、SSL証明書の有効期間を更新する必要があります。 SSL証明書の有効期間を更新しないと、暗号化されたネットワーク接続を使用するアプリケーションまたはクライアントはRDSインスタンスに接続できません。 SSL証明書の有効期間を更新する方法の詳細については、「SSL証明書の有効期間の更新」をご参照ください。
SSL暗号化機能を有効または無効にするか、RDSインスタンスのSSL証明書を更新すると、RDSインスタンスが再起動します。 再起動中、RDSインスタンスは数分間使用できません。
SSL暗号化は、CPU利用率の大幅な増加を引き起こし得る。 RDSインスタンスのパブリックエンドポイントへの接続を暗号化する必要がある場合にのみ、SSL暗号化機能を有効にすることを推奨します。
ステップ1: RDSインスタンスのSSL暗号化機能を有効にする
- [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
SSL タブで、無効 をオンにします。
SSL の設定 ダイアログボックスで、暗号化方法を選択し、設定を行います。
Alibaba Cloudによって自動的に生成されたキーの使用
パラメーター
必須
説明
保護されたエンドポイントを選択します:
可
SSL暗号化機能を有効にするエンドポイントを選択します。 ビジネス要件に基づいて、RDSインスタンスの内部エンドポイントまたはパブリックエンドポイントに確立された接続を暗号化できます。 両方のタイプの接続を暗号化することはできません。
説明RDSインスタンスのパブリックエンドポイントへの接続を暗号化する場合は、パブリックエンドポイントが適用されていることを確認する必要があります。 詳細については、「パブリックエンドポイントの申請またはリリース」をご参照ください。
強制暗号化を有効にするかどうか
任意
強制的なSSL暗号化をサポートするかどうかを指定します。 強制的なSSL暗号化は、RDSインスタンスの内部エンドポイントに確立された接続でのみサポートされます。 Forceful Encryptionを有効にすると、暗号化されていない接続はサポートされません。
説明Forceful Encryptionは、仮想プライベートクラウド (VPC) に存在するRDSインスタンスに対してのみ有効にできます。 詳細については、「ネットワークタイプの変更」をご参照ください。
RDSインスタンスのパブリックエンドポイントに対して確立されている接続では、強制的なSSL暗号化はサポートされていません。 RDSインスタンスの内部エンドポイントとパブリックエンドポイントに確立された接続が存在する場合、RDSインスタンスの内部エンドポイントに確立された接続に対してForceful Encryptionを有効にする場合は、まずパブリックエンドポイントをリリースする必要があります。 詳細については、「パブリックエンドポイントの申請またはリリース」をご参照ください。
サポートされている最小 TLS バージョンがサポートされています
任意
サポートされているTLSの最小バージョンを選択します。 有効な値: 1.0、1.1、1.2
たとえば、このパラメーターを1.1に設定した場合、サーバーはTLS 1.1およびTLS 1.2プロトコルを介した接続のみを受け入れます。
カスタムキーの暗号化
説明暗号化にカスタムキーを使用する前に、前提条件に記載されている要件が満たされていることを確認してください。
[PFX形式の証明書をOSSにアップロード] ステップで、[次のステップ] をクリックします。
[カスタムキー暗号化の使用] ステップで、必要なパラメーターを設定し、[次のステップ] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
OSSバケット
証明書が存在するOSSバケットを選択します。
証明書
必要な
PFX
証明書を選択します。Password
証明書のパスワードを入力します。
[一般オプションの設定] ステップで、次のパラメーターを設定します。
パラメーター
必須
説明
保護されたエンドポイントを選択します:
可
SSL暗号化機能を有効にするエンドポイントを選択します。 ビジネス要件に基づいて、RDSインスタンスの内部エンドポイントまたはパブリックエンドポイントに確立された接続を暗号化できます。 両方のタイプの接続を暗号化することはできません。
説明RDSインスタンスのパブリックエンドポイントへの接続を暗号化する場合は、パブリックエンドポイントが適用されていることを確認する必要があります。 詳細については、「パブリックエンドポイントの申請またはリリース」をご参照ください。
強制暗号化を有効にするかどうか
任意
強制的なSSL暗号化をサポートするかどうかを指定します。 強制的なSSL暗号化は、RDSインスタンスの内部エンドポイントに確立された接続でのみサポートされます。 Forceful Encryptionを有効にすると、暗号化されていない接続はサポートされません。
説明Forceful Encryptionは、仮想プライベートクラウド (VPC) に存在するRDSインスタンスに対してのみ有効にできます。 詳細については、「ネットワークタイプの変更」をご参照ください。
RDSインスタンスのパブリックエンドポイントに対して確立されている接続では、強制的なSSL暗号化はサポートされていません。 RDSインスタンスの内部エンドポイントとパブリックエンドポイントに確立された接続が存在する場合、RDSインスタンスの内部エンドポイントに確立された接続に対してForceful Encryptionを有効にする場合は、まずパブリックエンドポイントをリリースする必要があります。 詳細については、「パブリックエンドポイントの申請またはリリース」をご参照ください。
サポートされている最小 TLS バージョンがサポートされています
任意
サポートされているTLSの最小バージョンを選択します。 有効な値: 1.0、1.1、1.2
たとえば、このパラメーターを1.1に設定した場合、サーバーはTLS 1.1およびTLS 1.2プロトコルを介した接続のみを受け入れます。
[OK] をクリックします。
SSL暗号化機能を有効にするのに約1分かかります。 ページを更新して、RDSインスタンスのステータスを表示できます。
手順2: SSL証明書のダウンロード
SSL暗号化機能を使用して、CA証明書なしでRDSインスタンスに接続できます。 CA証明書をダウンロードして使用することを推奨します。 CA証明書を使用して、SSLハンドシェイク中に受信したサーバー証明書を確認できます。 これにより、RDSインスタンスのIDを確認し、man-in-the-middle攻撃を防ぐことができます。
- [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
SSLタブで、CA 証明書のダウンロード をクリックします。
ダウンロードしたファイルは、次のファイルを含むパッケージです。
P7Bファイル: Windowsオペレーティングシステムで使用されるSSL証明書ファイル。
PEMファイル: Windows以外のオペレーティングシステムまたはWindowsで実行されていないアプリケーションで使用されるSSL証明書ファイル。
JKSファイル: Javaでサポートされているトラストストアに保存されているSSL証明書ファイル。 このファイルを使用して、SSL証明書チェーンからJavaベースのアプリケーションにSSL証明書ファイルをインポートできます。 デフォルトのパスワードはapsaradbです。
重要JDK 7またはJDK 8でJKSファイルを使用する場合は、アプリケーションが存在するホストの
jre/lib/security/Java.security
ファイルにある次のデフォルトのJDKセキュリティ設定項目を変更する必要があります。jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
これらの設定を変更しないと、次のエラーが報告されます。 ほとんどの場合、他の同様のエラーも無効なJavaセキュリティ設定によって発生します。
javax.net.ssl.SSLHandshakeException: DHPublicKeyはアルゴリズム制約に準拠していません
ステップ3: SSL証明書の設定
SSL暗号化機能を有効にした後、アプリケーションまたはクライアントでSSL証明書を設定する必要があります。 このトピックでは、SQL Server Management Studio (SSMS) を使用してSSL証明書をインストールする方法の例を示します。 他のアプリケーションやクライアントを使用する場合は、関連する手順を参照してください。
デスクトップの左下隅の検索ボックスにcertmgr.mscと入力し、certmgr.mscを開きます。
[certmgr] ダイアログボックスで、[Trusted Root Certification Authorities] を右クリックします。
を選択します。
[次へ] をクリックします。
[証明書のインポートウィザード] ダイアログボックスで、[参照] をクリックしてダウンロードしたSSL証明書をインポートし、[次へ] をクリックします。 SSL証明書のダウンロード方法の詳細については、「手順2: SSL証明書のダウンロード」をご参照ください。
ビジネス要件に基づいてSSL証明書を保存するディレクトリを選択し、[次へ] をクリックします。
[完了] をクリックし、証明書がインポートされるまで待ちます。
SSMSを開き、ダイアログボックスの右下隅にある [オプション] をクリックします。
[接続のプロパティ] タブで、[接続の暗号化] と [サーバー証明書の信頼] を選択し、[接続] をクリックします。
次のステートメントを実行します。 TRUEが返された場合、接続は暗号化されます。
SELECT ENCRYPT_OPTION FROM SYS.DM_EXEC_CONNECTIONS WHERE SESSION_ID = @ @ SPID
付録: SSLを介した接続のサンプルコード
# -*-コーディング: utf-8 -*-
インポートssl
pyodbcをインポートする
# PythonでSSL接続を確立するためのSSLコンテキストを作成します。
context = ssl.create_default_context(purpose=ssl.Purpose.SERVER_AUTH, cafile="D:\ca\ApsaraDB-CA-Chain.pem")
# 接続を確立します。
# SERVERは、必要なデータベースが存在するサーバーのIPアドレスを指定します。 DATABASEは、接続するデータベースの名前を指定します。 UIDは、データベースにログオンするために必要なユーザー名を指定します。 PWDは、データベースにログオンするために必要なパスワードを指定します。 Encryptは、SSL暗号化を有効にするかどうかを指定します。 yesの値は、SSL暗号化が有効であることを示します。
conn = pyodbc.connect('DRIVER={SQL ServerのODBCドライバー17};SERVER=rm-2zec ********** .sqlserver.rds.aliyuncs.com;DATABASE=master;UID=zhttest;PWD=zht ****; 暗号化=yes、ssl=コンテキスト)
cursor = conn.cursor()
cursor.exeかわいい ('SELECT @ @ version ')
rows = cursor.fetchall()
行の行の場合:
プリント (行)
# 接続を閉じます。
conn.close()
;
System.Data.SqlClientを使用する。名前空間SqlConnectionSSLCample
{
class Program
{
static void Main(string[] args)
{
// 接続を確立します。
// データソースは、必要なSQL serverデータベースが存在するサーバーのIPアドレスを指定します。 初期カタログには、接続する必要なデータベースの名前を指定します。 ユーザーIDは、データベースに接続するために必要なユーザー名を指定します。 Passwordは、データベースに接続するために必要なパスワードを指定します。 Encryptは、SSL暗号化送信を有効にするかどうかを指定します。 trueの値は、SSL暗号化が有効になっていることを示します。
string connectionString = "データソース=rm-2ze ********* .sqlserver.rds.aliyuncs.com; 初期カタログ=master; ユーザーID=zhttest; パスワード=zht ****; 暗号化=true;";
using (SqlConnection connection = new SqlConnection(connectionString))
{
// 接続を開きます。
接続オープン ();
try
{
// SQL文を実行します。
SqlCommand cmd=新しいSqlCommand("SELECT @ @ version" 、接続);
string result = cmd.ExecuteScalar().ToString();
Console.WriteLine (結果);
}
catch (Exception ex)
{
Console.WriteLine($"エラー: {ex.Message}");
}
}
}
}
}
関連操作
次のステップ
証明書の有効期間の更新
SSL証明書は1年間有効です。 使用済みSSL証明書の有効期限が切れる前に、SSL証明書の有効期間を更新する必要があります。 SSL証明書の有効期間を更新しないと、暗号化されたネットワーク接続を使用するアプリケーションまたはクライアントはRDSインスタンスに接続できません。
SSL証明書の有効期間を更新すると、RDSインスタンスが再起動します。 SSL証明書の有効期間を更新するときは、注意して続行してください。
- [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
SSL タブで、[有効性の更新] をクリックします。
SSL暗号化機能の無効化
SSL暗号化機能を無効にすると、RDSインスタンスが再起動します。 この場合、システムはプライマリ /セカンダリの切り替えをトリガーして、ワークロードへの影響を軽減します。 オフピーク時にはSSL暗号化機能を無効にすることをお勧めします。
SSL暗号化機能を無効にすると、アクセスパフォーマンスは向上しますが、セキュリティは低下します。 安全な環境でのみSSL暗号化機能を無効にすることを推奨します。
SSL暗号化機能を無効にすると、アプリケーションは非SSL接続でのみRDSインスタンスに接続できます。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
表示されるページで、[SSL] タブをクリックします。
SSL暗号化をオフにします。 表示されるメッセージで、[OK] をクリックします。
接続暗号化の詳細を表示
SQL Serverでは、次のステートメントを実行して、現在の接続に対してSSL暗号化機能が有効になっているかどうかを確認できます。
SELECT session_id,encrypt_option
sys.dm_exec_connectionsから。GO
sys.dm_exec_connections
動的管理ビューのクエリ時に現在の接続のセッションIDが返され、encrypt_option
パラメーターの値がtrue
の場合、接続のSSL暗号化機能が有効になります。
よくある質問
期限切れのSSL証明書を更新しないと、ビジネスにどのような影響がありますか? RDSインスタンスでエラーが発生したか、データセキュリティが低下しましたか。
期限切れのSSL証明書を更新しない場合でも、RDSインスタンスは期待どおりに実行され、セキュリティリスクは発生しません。 ただし、アプリケーションはRDSインスタンスへの暗号化接続を確立できません。