すべてのプロダクト
Search

このプロダクト

    :SSL 暗号化の構成

    ドキュメントセンター

    :SSL 暗号化の構成

    最終更新日:Jan 24, 2025

    このトピックでは、SSL暗号化を設定してデータ送信のセキュリティを強化する方法について説明します。 SSL暗号化を有効にし、必要なアプリケーションで認証局 (CA) によって発行されたSSL証明書をインストールする必要があります。 SSLは、トランスポート層で接続を暗号化し、送信データのセキュリティと整合性を強化するために使用されます。 しかし、SSL暗号化はラウンドトリップ時間を増加させる。

    注意事項

    • SSL証明書は1年間有効です。 SSL証明書の有効期間を更新し、証明書を再度ダウンロードして設定する必要があります。 そうしないと、暗号化されたネットワーク接続を使用するクライアントはクラスターに接続できません。

    • SSL暗号化は、CPU使用率の急激な増加を引き起こし得る。 クラスターのパブリックエンドポイントに対して確立されている接続を暗号化する場合にのみ、SSL暗号化を有効にすることを推奨します。 ほとんどの場合、クラスターの内部エンドポイントへの接続は安全であり、SSL暗号化は必要ありません。

    • クラスターのSSL暗号化を無効にすると、クラスターが再起動されます。 作業は慎重に行ってください。

    SSL暗号化の有効化とSSL証明書のダウンロード

    1. Apsara PolarDBコンソールにログインします。

    2. ページの左上隅で、クラスターがデプロイされているリージョンを選択します。

    3. クラスターを検索し、クラスターIDをクリックします。

    4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理 を選択します。

    5. SSL の設定 タブで、SSL の横にあるスイッチをオンにして、SSL暗号化を有効にします。

      説明

      SSL暗号化は、PolarDB for PostgreSQL (Oracle互換) クラスターのプライマリエンドポイントに対してのみ有効にできます。

    6. SSL の設定 ダイアログボックスで、OK をクリックします。

    7. SSLステータスが 有効 に変わったら、証明書のダウンロード をクリックします。

      ダウンロードしたパッケージには、次のファイルが含まれます。

      • P7Bファイル: Windowsオペレーティングシステムで使用されるSSL証明書ファイル

      • PEMファイル: CA証明書を他のオペレーティングシステムまたはアプリケーションにインポートするために使用されます。

      • JKSファイル: Javaトラストストアファイル。 パスワードは、「apsaradb」 です。 CA証明書チェーンをJavaプログラムにインポートするために使用されます。

        説明

        JKSファイルをJavaで使用する場合は、JDK 7およびJDK 8のデフォルトのJDKセキュリティ構成を変更する必要があります。 Apsara PolarDBに接続されているサーバー上のjre/lib/security/java.securityファイルを開き、次の設定を変更します。 

        jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

        これらの設定を変更しない場合、次のエラーが返されます。 ほとんどの場合、無効なJavaセキュリティ設定によって同様のエラーが発生します。 

        javax.net.ssl.SSLHandshakeException: DHPublicKeyはアルゴリズム制約に準拠していません

    SSL証明書の有効期間を更新する

    SSL暗号化が有効になっているエンドポイントを変更した後、またはSSL証明書の有効期限が近づいたときに、SSL証明書の有効期間を更新する必要があります。 ここでは、SSL証明書の有効期間を更新する方法について説明します。

    1. Apsara PolarDBコンソールにログインします。

    2. ページの左上隅で、クラスターがデプロイされているリージョンを選択します。

    3. クラスターを検索し、クラスターIDをクリックします。

    4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理 を選択します。

    5. SSL の設定 タブで、有効期間の更新 をクリックします。

    6. SSL の設定 ダイアログボックスで、OK をクリックします。

      説明

      証明書の有効期間を更新すると、クラスターが再起動されます。 作業は慎重に行ってください。

    7. SSL証明書を更新した後、SSL証明書を再度ダウンロードして設定します。

      説明

      証明書のダウンロード方法の詳細については、「SSL暗号化の有効化とSSL証明書のダウンロード」セクションの手順7を参照してください。

    SSL 暗号化の無効化

    説明

    • SSL暗号化を無効にすると、クラスターが再起動されます。 そのため、ピーク時間外に操作を実行することを推奨します。

    • SSL暗号化を無効にすると、クラスターのパフォーマンスは向上しますが、データのセキュリティは低下します。 安全な環境でのみSSL暗号化を無効にすることを推奨します。

    1. Apsara PolarDBコンソールにログインします。

    2. ページの左上隅で、クラスターがデプロイされているリージョンを選択します。

    3. クラスターを検索し、クラスターIDをクリックします。

    4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理 を選択します。

    5. SSL の設定 タブで、SSL の横にあるスイッチをオフにして、SSL暗号化を無効にします。

    6. SSL の設定 ダイアログボックスで、OK をクリックします。

    よくある質問

    期限切れのSSL証明書を更新しないとどうなりますか? クラスターの誤動作やデータセキュリティが低下しますか?

    有効期限が切れた後にSSL証明書を更新しない場合でも、クラスターは通常どおり実行でき、データセキュリティは損なわれません。 ただし、暗号化された接続を介してクラスターに接続するアプリケーションは切断されます。

    関連する API 操作

    API 操作

    説明

    DescribeDBClusterSSL

    指定されたPolarDBクラスターのSSL暗号化設定を照会します。

    ModifyDBClusterSSL

    指定されたPolarDBクラスターのSSL暗号化を有効にするか、SSL暗号化を無効にするか、SSL証明書を更新します。