PolarDB:SSL 暗号化の構成

前提条件

PolarDB-Xインスタンスのバージョンは5.4.10以降です。 インスタンスのバージョン情報は、PolarDB-Xコンソールの [基本情報] ページで確認できます。

注意

• SSL証明書の有効期間は1年です。 SSL証明書の有効期限が切れる前に、SSL証明書の有効期間を更新し、SSL証明書を再度ダウンロードして設定します。 そうしないと、クライアントは暗号化された接続でインスタンスに接続できません。 SSL証明書の有効期間を更新する方法の詳細については、「SSL証明書の有効期間の更新」をご参照ください。

• SSL暗号化は、CPU使用率の大幅な増加を引き起こす可能性があります。 インスタンスのパブリックエンドポイントへの接続に対してのみSSL暗号化を有効にすることを推奨します。 ほとんどの場合、プライベートエンドポイントへの接続は安全であり、SSL暗号化は必要ありません。

• インスタンスのSSL暗号化を有効または無効にするたびに、インスタンスが再起動されます。 作業は慎重に行ってください。

SSL 暗号化の有効化

1. にログインします。PolarDB for Xscaleコンソール.

2. 上部のナビゲーションバーで、ターゲットインスタンスが配置されているリージョンを選択します。

3. On theインスタンスページをクリックし、PolarDB-X 2.0タブをクリックします。

4. 対象インスタンスを見つけ、そのIDをクリックします。

5. 左側のナビゲーションウィンドウで、[構成管理] > [安全管理] を選択します。

6. をクリックし、SSL設定タブをクリックします。

7. SSL設定の横にあるスイッチをオンにします。

   

   説明

   スイッチをオンにすると、ページに表示されるSSL保護アドレスの値がプライベートエンドポイントになります。 値をパブリックエンドポイントに変更できます。 詳細については、「SSL暗号化の保護されたエンドポイントの変更」をご参照ください。

8. 表示されるメッセージで、[OK] をクリックします。

   重要

   [OK] をクリックすると、インスタンスが再起動されます。 オフピーク時にインスタンスを有効または無効にし、アプリケーションがインスタンスに自動的に再接続できるようにすることを推奨します。

9. SSL暗号化が有効になったら、[CA証明書のダウンロード] をクリックします。

   ダウンロードしたパッケージには、次のファイルが含まれます。

   • . p7bファイルは、SSL証明書をWindowsシステムにインポートするために使用されます。

   • . pemファイルは、SSL証明書をWindows以外のシステムおよびアプリケーションにインポートするために使用されます。

   • . jksファイルは、Javaのトラストストア証明書を格納します。 パスワードは、「apsaradb」 です。 このファイルは、CA証明書チェーンをJavaプログラムにインポートするために使用されます。

     説明

     あなたが使用するとき。Java Development Kit (JDK) 7またはJDK 8でjksファイルを作成し、アプリケーションが存在するホストのjre/lib/security/java.securityディレクトリに移動し、次のコードを実行して2つの設定項目のデフォルト値を変更します。

     jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
     jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024 

     それ以外の場合、次のエラーが返されます。 ほとんどの場合、無効なJavaセキュリティ設定によっても同様のエラーが発生します。

     javax.net.ssl.SSLHandshakeException: DHPublicKeyはアルゴリズム制約に準拠していません

SSL証明書の設定

SSL暗号化を有効にした後、アプリケーションまたはクライアントがPolarDB-Xに接続できるようにSSL証明書を設定します。 このセクションでは、SSL証明書の設定方法の例を示します。 例では、MySQL WorkbenchとNavicatが使用されています。 他のアプリケーションまたはクライアントを使用する場合は、対応する手順を参照してください。

MySQL WorkbenchでのSSL証明書の設定

1. MySQL Workbenchを開始します。

2. [データベース] > [接続の管理] を選択します。

3. [SSLの使用] ドロップダウンリストで [利用可能な場合] を選択し、SSL証明書ファイルをインポートします。

NavicatでSSL証明書を設定する

1. Navicatを開始します。

2. 接続するデータベースを右クリックし、[接続の編集] を選択します。

   

3. [SSL] タブをクリックし、のパスを選択します。pem SSL証明書ファイル。

   

4. [OK] をクリックします。

   説明

   接続中のエラーメッセージが返された場合、前のセッションはアクティブです。 この場合、Navicatを再起動する必要があります。

5. データベースをダブルクリックして、データベースが接続されているかどうかを確認します。

   

SSL証明書の有効期間の更新

SSL暗号化の保護されたエンドポイントの変更

1. にログインします。PolarDB for Xscaleコンソール.

2. 上部のナビゲーションバーで、ターゲットインスタンスが配置されているリージョンを選択します。

3. On theインスタンスページをクリックし、PolarDB-X 2.0タブをクリックします。

4. 対象インスタンスを見つけ、そのIDをクリックします。

5. 左側のナビゲーションウィンドウで、構成・ amp; の管理 > [安全管理] を選択します。

6. をクリックし、SSL設定タブをクリックします。

7. [SSLの設定] をクリックします。

8. 表示されるダイアログボックスで、接続を暗号化するエンドポイントを選択します。

   説明

   • SSL設定パラメーターの横にあるスイッチをオンにすると、ページに表示されるSSL保護アドレスの値がプライベートエンドポイントになります。 プライベートエンドポイントをパブリックエンドポイントに変更できます。

   • SSL証明書によって接続が暗号化されるエンドポイントを変更すると、インスタンスが再起動されます。 オフピーク時にこの操作を実行し、アプリケーションがインスタンスに自動的に再接続できることを確認することを推奨します。

   • SSL暗号化のエンドポイントを変更した後、SSL証明書を再度ダウンロードして設定する必要があります。

9. [OK] をクリックします。

SSL 暗号化の無効化

1. にログインします。PolarDB for Xscaleコンソール.

2. 上部のナビゲーションバーで、ターゲットインスタンスが配置されているリージョンを選択します。

3. On theインスタンスページをクリックし、PolarDB-X 2.0タブをクリックします。

4. 対象インスタンスを見つけ、そのIDをクリックします。

5. 左側のナビゲーションウィンドウで、構成・ amp; の管理 > [安全管理] を選択します。

6. をクリックし、SSL設定タブをクリックします。

7. SSL設定を無効にします。

   

8. 表示されるメッセージで、[OK] をクリックします。