RDS PostgreSQL支持设置SSL链路加密,对网络连接进行加密,保证传输链路的安全。本文介绍开启SSL链路加密功能的入门配置。

背景信息

SSL(Secure Sockets Layer)指安全套接字协议,是为了安全通信、数据安全性专门设计的安全协议,SSL 3.0之后更名为TLS(Transport Layer Security)。本文以配置云端证书为例,指导您快速配置SSL链路加密。

说明 RDS PostgreSQL支持的TLS版本为1.0、1.1和1.2。
RDS PostgreSQL实例支持的SSL链路加密配置及功能对比如下:
对比项 配置云端证书 配置自定义证书 配置客户端CA证书
获取方式 由阿里云颁发 由证书认证机构发或自签名证书颁发 由自签名证书颁发
证书有效期 365天 由您自定义 由您自定义
保护的连接地址数 1个 1个或多个 不影响保护的连接地址数,取决于配合使用的云端证书或自定义证书
证书作用 开启SSL链路加密,客户端验证服务端真伪 开启SSL链路加密,客户端验证服务端真伪 服务端验证客户端真伪
说明
  • 配置云端证书或自定义证书为必选配置,用于开启SSL链路加密。
  • 配置客户端CA证书为可选配置,用于服务端验证客户端真伪。

前提条件

实例为RDS PostgreSQL 10或以上的云盘版本。

注意事项

  • 开启SSL链路加密后,会造成CPU使用率上升、读写时延增长。
  • 开启SSL链路加密后,已有连接需要断开重连,加密才会生效。
  • 开启云端证书、更改云端证书保护的连接地址或关闭SSL链路加密,将会重启您的数据库实例,用时约3分钟左右,请在业务低峰期操作。

步骤一:使用云端证书开启SSL链路加密

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 进入数据安全性>SSL页面。
    SSL页面
    说明 如果您在控制台中未看到SSL页面,请检查您的RDS PostgreSQL实例版本及存储类型,具体详见前提条件
  3. 切换证书来源为使用云端证书,单击配置数据库证书(防止伪装数据库)后的配置按钮,选择需要保护的连接地址。
    选择保护的连接串
    说明
    • 如果您未开启外网地址,请选择需要保护的连接串对话框中将会显示RDS PostgreSQL实例的内网连接地址。如果您开启了外网地址,将会同时显示内网和外网两个连接地址。但云端证书只能对一个连接地址进行保护,内网连接相对安全,推荐您对外网连接地址进行保护。查看内网和外网地址请参见查看内外网地址
    • 如果您需要同时对内网和外网连接地址进行保护,请参见配置自定义证书
    • 配置云端证书后,实例的运行状态将会变更为修改SSL中,该状态将持续三分钟左右,请耐心等待运行状态变更为运行中后再进行后续操作。

步骤二:下载CA证书

开启云端证书后,RDS PostgreSQL数据库提供数据库CA证书供您下载,当您通过客户端远程连接RDS PostgreSQL数据库时,使用数据库CA证书可以对数据库真伪进行校验。

  1. 切换证书来源为使用云端证书,单击下载CA证书
    下载CA证书
  2. 解压下载的CA证书。
    下载的文件为压缩包,包含如下三个文件:
    • p7b文件:用于Windows系统中导入CA证书。
    • PEM文件:用于其他系统或应用中导入CA证书。
    • JKS文件:Java中的truststore证书存储文件,密码统一为apsaradb,用于Java程序中导入CA证书链。

步骤三:客户端连接数据库

本连接示例中以pgAdmin客户端通过SSL连接RDS PostgreSQL数据库为例。

说明 连接数据库前,请确保已在RDS PostgreSQL实例中配置白名单和用户。具体操作,请参见设置白名单创建数据库和账号
  1. 启动pgAdmin 4客户端
    说明 高版本客户端首次登录需要设置Master Password用于保护保存的密码和其他凭据。
  2. 右击Servers,选择Create > Server...
  3. General页签设置连接名称。
  4. 选择Connection标签页,输入要连接的实例信息。
    参数 说明
    Hostname/address 主机名称/地址。若通过内网连接,需输入RDS实例的内网连接地址;若使用外网连接,需输入RDS实例的外网连接地址。查看RDS实例的内外网地址及端口请参见查看或修改内外网地址和端口
    Port 连接地址对应的端口。
    Username RDS实例的账号名称。创建RDS实例的账号请参见创建数据库和账号
    Password 账号对应的密码。
  5. 选择SSL标签页,配置SSL认证方式和证书。SSLconfigure
    参数 说明
    SSL mode
    为了使用SSL安全连接,请配置Require、Verify-CA或Verify-Full连接方式,参数含义如下:
    • Require:只对数据链路加密,并不验证数据库服务器的真实性。
    • Verify-CA:加密数据链路,同时验证数据库的真实性。
    • Verify-Full:加密数据链路,验证数据库的真实性,同时比对证书内的CN或DNS与连接时配置的Host name/address的一致性。
    Root certificate SSL mode取值为Verify-CAVerify-Full时,需要配置此参数,表示数据库CA证书路径。
    说明
    • 本示例中,从SSL页面下载的CA证书解压路径为D:\CA\aliyunCA\,您可以将证书解压到您本地的任意位置。
    • pgAdmin客户端中使用的数据库CA证书为PEM文件。
  6. 单击Save
  7. 若连接信息无误,会出现如下界面,则表示连接成功。
    注意 postgres是RDS实例默认的系统数据库,请勿在该数据库中进行任何操作。