为提高链路的安全性,您可以开通SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。本文介绍SSL加密功能的相关操作。

前提条件

MongoDB 3.4及以上版本的副本集实例。

注意事项

  • SSL CA证书仅支持通过云数据库MongoDB控制台下载。
  • 开通SSL加密会增加云数据库MongoDB实例的CPU使用率,建议您有加密需求(例如通过公网连接MongoDB实例)时开通SSL加密。
    说明 内网链路相对较安全,一般无需对链路加密。
  • 开通SSL后支持SSL和非SSL两种连接方式。

影响

在开通或关闭SSL加密、更新SSL证书操作时,实例会进行一次重启,建议您提前做好业务安排并确保应用有重连机制。
说明 重启实例会对实例的节点执行轮转重启,每个节点会有30秒左右的闪断,如果集合的数量较多(超过1万),闪断时间也会随之变长。

操作步骤

  1. 登录MongoDB管理控制台
  2. 在页面左上角,选择实例所在的资源组和地域。
  3. 在左侧导航栏,单击副本集实例列表
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏,选择数据安全性 > SSL
  6. SSL页面,根据业务需要执行对应步骤。
    • 开通SSL加密(SSL关闭状态下)
      说明 开通SSL加密过程中,云数据库MongoDB会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。
      1. 单击SSL状态右侧的开关。
      2. 在弹出的开通SSL对话框中,单击确定

      实例运行状态变更为SSL修改中,当SSL状态变更为已开通(实例运行状态为运行中)时,说明已开通SSL加密。

    • 关闭SSL加密(SSL开通状态下)
      说明 关闭SSL加密过程中,云数据库MongoDB会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。
      1. 单击SSL状态右侧的开关。
      2. 在弹出的关闭SSL对话框中,单击确定

      实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明已关闭SSL加密。

    • 更新SSL证书(已开通SSL加密)
      查看SSL证书有效期右侧的时间判断当前SSL证书是否在有效期内。
      说明 您也可以通过查看SSL证书当前有效右侧的信息判断当前SSL证书的有效性。
      • 有效:说明当前SSL证书在有效期内。
      • 无效:说明当前SSL证书已经失效,建议您及时更新SSL证书。
      • 是:建议您定期查看SSL证书的有效性,当SSL证书即将过期时及时更新SSL证书。
      • 否:更新SSL证书,具体如下:
        说明 更新SSL证书过程中,云数据库MongoDB会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。
        1. 单击SSL证书有效期右侧的更新证书
        2. 在弹出的更新SSL对话框中,单击确定

        实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明更新SSL证书成功。

    • 下载SSL CA证书
      单击下载证书,将SSL CA证书下载至本地。
      说明 下载的SSL CA证书可以用于加密连接数据库场景,具体请参见使用Mongo Shell通过SSL加密连接数据库

相关API

接口 说明
DescribeDBInstanceSSL 查询云数据库MongoDB实例的SSL设置详情。
ModifyDBInstanceSSL 修改云数据库MongoDB实例的SSL配置。