ApsaraDB RDS:SSL 暗号化機能の設定

影響

• SSL 暗号化機能を有効にする、無効にする、または SSL 証明書を更新すると、RDS インスタンスが再起動し、プライマリ/セカンダリの切り替えがトリガーされます。オフピーク時間に操作を実行することを推奨します。アプリケーションが RDS インスタンスに自動的に再接続するように設定されていることを確認してください。アプリケーションのコードを変更して、自動再接続を有効にできます。MySQL 5.6 または MySQL 5.7 を実行している RDS インスタンスの SSL 証明書を更新すると、RDS インスタンスが再起動します。MySQL 8.0 を実行している RDS インスタンスの SSL 証明書を更新しても、RDS インスタンスは再起動しません。インスタンスの切り替えによる影響の詳細については、「インスタンスの切り替えによる影響」をご参照ください。

• RDS インスタンスで SSL 暗号化機能を有効にすると、暗号化接続によって CPU 使用率が大幅に増加します。RDS インスタンスのパブリックエンドポイントへの接続を暗号化する必要がある場合にのみ、SSL 暗号化機能を有効にすることを推奨します。

• RDS インスタンスで SSL 強制暗号化機能を有効にすると、クライアントまたはデータベースプロキシは SSL 暗号化接続を介してのみ RDS インスタンスに接続できます。非 SSL 暗号化接続は拒否されます。

TLS バージョン

Transport Layer Security (TLS) は、インターネット通信のデータプライバシーとセキュリティを確保する、広く使用されているトランスポート層セキュリティプロトコルです。複数の TLS バージョンが利用可能です。ApsaraDB RDS for MySQL インスタンスでサポートされている TLS バージョンは、RDS インスタンスのメジャーエンジンバージョンによって異なります。

ssl_cipher の構成

ApsaraDB RDS for MySQL は、TLS に OpenSSL を使用して安全な通信を提供します。MySQL 5.7 およびマイナーエンジンバージョン 20230831 を実行する RDS インスタンス、および MySQL 8.0 およびマイナーエンジンバージョン 20230930 を実行する RDS インスタンスでは、OpenSSL が OpenSSL 3.0 にアップグレードされます。デフォルトでは、OpenSSL 3.0 は TLSv1.0 および TLSv1.1 を介した通信をサポートしなくなりました。詳細については、OpenSSL ドキュメントをご参照ください。

ApsaraDB RDS for MySQL のデータ互換性を確保するため、`ssl_cipher` パラメーターの値は "ALL:@SECLEVEL=0" に変更され、TLSv1.0 と TLSv1.1 をサポートします。

ワークロードが TLSv1.2 以降のみを使用する場合は、より高いセキュリティを確保するために、ApsaraDB RDS コンソールで `ssl_cipher` パラメーターを空の文字列 ("") に設定することを推奨します。

ステップ 1：RDS インスタンスの SSL 暗号化機能を有効にする

1. [インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、対象の RDS インスタンスを見つけて、インスタンス ID をクリックします。

2. 左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。

3. 表示されたページの [SSL] タブで、[無効] の左側にあるスイッチをオンにします。

   説明

   [SSL] タブが表示されない場合は、RDS インスタンスが [前提条件] のすべての要件を満たしているかどうかを確認する必要があります。

4. 表示されたダイアログボックスで、保護するエンドポイントを選択し、[OK] をクリックします。

   ビジネス要件に基づいて、内部エンドポイントまたはパブリックエンドポイントへの接続を暗号化できます。接続を暗号化できるのは 1 つのエンドポイントのみです。

5. オプション。 [強制暗号化] をオンにして、SSL 強制暗号化機能を有効にします。

   重要

   • SSL 強制暗号化機能は、RDS インスタンスが MySQL 5.7 または MySQL 8.0 で、マイナーエンジンバージョンが 20241130 以降の場合にのみ有効にできます。

   • RDS インスタンスで SSL 強制暗号化機能を有効にすると、クライアントまたはデータベースプロキシは SSL 暗号化接続を介してのみ RDS インスタンスに接続できます。非 SSL 暗号化接続は拒否されます。

6. SSL 暗号化機能を有効にするプロセスが完了するまで、約 1 分待ちます。ページをリフレッシュして、機能のステータスを表示できます。

ステップ 2：CA 証明書をダウンロードする

クラウド証明書を設定した後、RDS インスタンスはダウンロード用のサーバー CA 証明書を提供します。クライアントから RDS インスタンスに接続するときに、サーバー CA 証明書を使用して RDS インスタンスを認証できます。

1. [インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、対象の RDS インスタンスを見つけて、インスタンス ID をクリックします。

2. 表示されたページの左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。[SSL] タブで、[CA 証明書のダウンロード] をクリックします。

   ダウンロードしたファイルは、次のファイルを含むパッケージです。

   • PEM ファイル：ほとんどのシナリオに適しています。

   • JKS ファイル：Java アプリケーションに適しています。ファイルのパスワードは apsaradb です。ほとんどの場合、PEM 形式の CA 証明書ファイルをトラストストアにインポートして JKS ファイルに変換する必要があります。Java アプリケーションで JKS ファイルを使用できます。ファイルのパスワードは apsaradb です。

   • P7B ファイル：PKCS#7 形式の証明書ファイルを必要とする一部の Windows アプリケーションに適しています。

ステップ 3：データベースクライアントから RDS インスタンスに接続する

SSL 暗号化機能を有効にした後、クライアントと RDS インスタンス間の接続を暗号化するかどうかは、クライアントの種類と設定によって決まります。たとえば、クライアントから RDS インスタンスへの接続は、デフォルトで暗号化される場合があります。クライアントの設定またはコードを変更して、接続の暗号化を有効にし、RDS インスタンスの ID を検証できます。

mysql -h {RDS インスタンスのエンドポイント} -u {RDS インスタンスのアカウント} -p --ssl-mode=PREFERRED

mysql -h {RDS インスタンスのエンドポイント} -u {RDS インスタンスのアカウント} -p --ssl-mode=VERIFY_CA --ssl-ca={CA 証明書へのパス}/ApsaraDB-CA-Chain.pem

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.19</version>
</dependency>

package com.aliyun.sample;

import com.mysql.cj.jdbc.MysqlDataSource;
import java.sql.Connection;
import java.sql.SQLException;

public class Sample {

    public static void main(String[] args) {

        Connection conn = null;
        MysqlDataSource mysqlDS=null;

        try{
            mysqlDS = new MysqlDataSource();
            //ビジネス要件に基づいて sslMode プロパティを指定できます。このプロパティのオプションの詳細については、このトピックの「CLI」セクションの説明をご参照ください。
            mysqlDS.setSslMode("VERIFY_IDENTITY");
          
            //トラストストアは CA 証明書を保存するために使用されます。この例では、トラストストアのタイプは JKS に設定されています。
            mysqlDS.setTrustCertificateKeyStoreType("JKS");
            //file:/ の後のコンテンツを、実際の ApsaraDB-CA-Chain.jks ファイルのパスに置き換える必要があります。
            mysqlDS.setTrustCertificateKeyStoreUrl("file:/D:\\ApsaraDB-CA-Chain\\ApsaraDB-CA-Chain.jks");
            //ダウンロードした JKS ファイルのパスワードは apsaradb に固定されています。
            mysqlDS.setTrustCertificateKeyStorePassword("apsaradb");
          
            //ご利用の RDS インスタンスのエンドポイント。
            mysqlDS.setServerName("rm-xxxxxx.mysql.rds.aliyuncs.com");
            //ご利用の RDS インスタンスのポート番号。
            mysqlDS.setPort(3306);
            //ご利用の RDS インスタンスへの接続に使用するアカウントのユーザー名。
            mysqlDS.setUser("xxxxxx");
            //ご利用の RDS インスタンスへの接続に使用するアカウントのパスワード。
            mysqlDS.setPassword("xxxxxx");
            //ご利用の RDS インスタンスで接続するデータベースの名前。
            mysqlDS.setDatabaseName("xxxxxx");

            conn = mysqlDS.getConnection();

        }catch(Exception e){
            e.printStackTrace();
        } finally {
            try {
                if (conn != null)
                    conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

# pip install pymysql コマンドを実行して PyMySQL をインストールします。

import pymysql

try:
    ssl_config = {"ca":"/path/to/path/ca.crt", "mode":"VERIFY_CA"}   # ca を証明書のパスに、mode を使用する SSL モードに設定する必要があります。
    conn = pymysql.connect(host='******.mysql.rds.aliyuncs.com', user='*****', passwd='******', db='*****', ssl=ssl_config)
    cursor = conn.cursor()
    cursor.execute('select version()')
    data = cursor.fetchone()
    print('Database version:', data[0])
    cursor.close()
except pymysql.Error as e:
    print(e)

よくある質問

jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

関連操作

• DescribeDBInstanceSSL

• ModifyDBInstanceSSL