セキュリティ要件に基づいて、サーバーレス以外のインスタンスの SSL 証明書アルゴリズムを更新できます。
前提条件
インターネット経由でアクセスできる ApsaraMQ for Kafka インスタンスが購入され、デプロイされています。Running 状態であることを確認してください。
背景情報
ApsaraMQ for Kafka インスタンスのインターネットアクセス機能を有効にすると、システムはインスタンスの SSL 関連ポートを初期化します。 ConfigurationsApsaraMQ for Kafka コンソールのインスタンスの詳細ページの[構成] セクションで、インスタンスの SSL 証明書のキーサイズを確認できます。セキュリティ要件に基づいて、インスタンスの SSL 証明書アルゴリズムを更新するかどうかを決定できます。 SSL 証明書アルゴリズムを更新する場合は、以下のセクションで説明されている操作を実行して、SSL 証明書のキーサイズを 4,096 ビットに変更します。
ApsaraMQ for Kafka コンソールのインスタンスの詳細ページの構成情報セクションで SSL 証明書のキーサイズ(ビット)パラメーターの値のみを変更すると、クライアントは動作しなくなります。 SSL 証明書のキーサイズ(ビット)パラメーターの値を変更する前に、新しい証明書をダウンロードし、クライアントの証明書構成を変更してから、クライアントを再起動してください。
サーバーレスインスタンスのインターネットアクセス機能を有効にすると、インスタンスの SSL 証明書のデフォルトのキーサイズは 4,096 ビットになります。 SSL 証明書のキーサイズは変更できません。
SSL 証明書のダウンロード
シナリオ 1:インスタンスがデプロイされていない場合。クライアントが Java を使用して開発されている場合は、only.4096.client.truststore.jks をクリックして、Java 用の SSL 証明書をダウンロードします。クライアントが別のプログラミング言語で開発されている場合は、対応するプログラミング言語の only-4096-ca-cert 証明書ファイルをダウンロードします。詳細については、「概要」トピックの「SDK」セクションをご参照ください。
シナリオ 2:インスタンスがデプロイされており、インスタンスの SSL 証明書のキーサイズが 1,024 ビットである場合。クライアントが Java を使用して開発されている場合は、kafka.client.truststore.jks をクリックして、Java 用の SSL 証明書をダウンロードします。クライアントが別のプログラミング言語で開発されている場合は、対応するプログラミング言語の ca-cert.pem 証明書ファイルをダウンロードします。詳細については、「概要」トピックの「SDK」セクションをご参照ください。
シナリオ 3:インスタンスがデプロイされており、インスタンスの SSL 証明書のキーサイズを 1,024 ビットから 4,096 ビットに変更する場合。クライアントが Java を使用して開発されている場合は、mix.4096.client.truststore.jks をクリックして、Java 用の SSL 証明書をダウンロードします。クライアントが別のプログラミング言語で開発されている場合は、対応するプログラミング言語の mix-4096-ca-cert 証明書ファイルをダウンロードします。詳細については、「概要」トピックの「SDK」セクションをご参照ください。 mix.4096.client.truststore.jks ファイルと mix-4096-ca-cert ファイルの両方に、1024 ビット SSL 証明書と 4,096 ビット SSL 証明書が含まれています。インスタンスの証明書のキーサイズが 1024 ビットか 4,096 ビットかに関係なく、クライアントでこれらのファイルを使用できます。
手順
クライアントのプログラミング言語に基づいて、4,096 ビット SSL 証明書をダウンロードします。ダウンロードリンクについては、前のセクションをご参照ください。
クライアント上の元の SSL 証明書を、ダウンロードした SSL 証明書に置き換えます。次に、クライアントを再起動します。
ApsaraMQ for Kafka コンソールのインスタンスの詳細ページの構成情報セクションで、SSL 証明書のキーサイズ(ビット)パラメーターの値を 4096 に変更します。詳細については、「メッセージ構成の変更」をご参照ください。