為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,並安裝SSL CA認證到需要的應用服務。SSL在傳輸層對網路連接進行加密,能提升通訊資料的安全性和完整性,但會同時增加網路連接回應時間。
注意事項
SSL的認證有效期間為1年,請及時更新認證有效期間並重新下載和配置CA認證,否則使用加密串連的用戶端程式將無法正常串連。
由於SSL加密的固有缺陷,啟用SSL加密會顯著增加CPU使用率,建議您僅在外網鏈路有加密需求的時候啟用SSL加密。內網鏈路相對較安全,一般無需對鏈路加密。
關閉SSL加密會重啟叢集,請謹慎操作。
開啟SSL加密和下載認證
登入PolarDB管理主控台。
在頁面左上方,選擇叢集所在地區。
找到目的地組群,單擊叢集ID。
在左側功能表列中單擊。
在SSL配置頁簽,單擊SSL状态右側滑塊,開啟SSL加密。
說明PolarDB PostgreSQL版的叢集僅支援為主地址配置SSL。
在设置SSL對話方塊中,單擊确定。
SSL狀態變為已开通後,單擊下载证书。
下載的檔案為壓縮包,包含如下三個檔案:
p7b檔案:用於Windows系統中匯入CA認證。
pem檔案:用於其他系統或應用中匯入CA認證。
jks檔案:Java中的truststore憑證存放區檔案,密碼統一為apsaradb,用於Java程式中匯入CA憑證鏈結。
說明在Java中使用JKS認證檔案時,jdk7和jdk8需要修改預設的jdk安全配置,在串連PolarDB資料庫的伺服器的
jre/lib/security/java.security檔案中,修改如下兩項配置:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024若不修改jdk安全配置,會報如下錯誤。其它類似報錯,一般也都由Java安全配置導致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
更新認證有效期間
如果您修改了SSL串連地址或認證有效期間即將到期,您需要更新認證有效期間,以下內容將為您介紹如何更新認證有效期間。
登入PolarDB管理主控台。
在頁面左上方,選擇叢集所在地區。
找到目的地組群,單擊叢集ID。
在左側功能表列中單擊。
在SSL配置頁簽中單擊更新有效期。
在设置SSL對話方塊單擊确定。
說明更新有效期間操作將會重啟叢集,重啟前請做好業務安排,謹慎操作。
更新有效期間後,重新下載和配置認證。
說明下載認證請參見開啟SSL加密和下載認證步驟七。
關閉SSL加密
關閉SSL加密會重啟叢集,建議您在業務低峰期操作。
SSL加密關閉後,資料庫訪問效能會有一定程度提升,但安全性上有削弱,故非安全環境下不建議關閉SSL加密。
登入PolarDB管理主控台。
在頁面左上方,選擇叢集所在地區。
找到目的地組群,單擊叢集ID。
在左側功能表列中單擊。
在SSL配置頁簽中單擊SSL状态右側滑塊,關閉SSL加密。
在设置SSL對話方塊,單擊确定。
常見問題
Q:SSL認證到期後不更新會有什麼影響?會影響執行個體運行或資料安全嗎?
A:SSL認證到期後不更新,會導致使用加密串連的用戶端程式無法正常串連執行個體,不會影響執行個體運行或資料安全。
相關API
API | 描述 |
調用DescribeDBClusterSSL介面查詢PolarDB叢集SSL設定。 | |
調用ModifyDBClusterSSL介面設定PolarDB叢集SSL加密的開通、關閉或更新CA認證。 |