接続のセキュリティを向上させるために、Secure Sockets Layer (SSL) 暗号化を有効にし、アプリケーションに認証局 (CA) 証明書をインストールできます。SSL は、トランスポートレイヤーでネットワーク接続を暗号化し、データのセキュリティと整合性を向上させます。これにより、第三者によるデータの監視、傍受、改ざんを防ぎます。ただし、SSL 暗号化はネットワーク接続の応答時間を増加させます。このトピックでは、SSL 暗号化を有効または無効にする方法について説明します。
この機能はベータ版です。コンソールのインターフェイスと API 操作はまだ安定しておらず、変更される可能性があります。
前提条件
AnalyticDB for MySQL クラスターは、カーネルバージョン 3.2.1.0 以降を実行している必要があります。
AnalyticDB for MySQL クラスターのマイナーバージョンを表示および更新するには、AnalyticDB for MySQL コンソールにログインし、クラスター情報 ページの 構成情報 セクションに移動します。
背景情報
SSL は、Web サーバーとブラウザ間の暗号化通信を可能にするために Netscape によって開発されました。SSL は、RC4、MD5、RSA などのさまざまな暗号化アルゴリズムをサポートしています。Internet Engineering Task Force (IETF) は SSL 3.0 を Transport Layer Security (TLS) にアップグレードしました。しかし、「SSL 暗号化」という用語は依然として一般的に使用されています。このトピックでは、SSL 暗号化は TLS 暗号化を指します。
AnalyticDB for MySQL との安全な通信には、TLS 1.2 プロトコルを使用することをお勧めします。
使用上の注意
SSL 証明書の有効期間は 1 年です。有効期限が切れる前に証明書を更新する必要があります。そうしないと、暗号化された接続を使用するクライアントアプリケーションが接続に失敗します。
SSL 暗号化を有効にすると、CPU 使用率が増加します。この機能は必要な場合にのみ有効にしてください。
SSL 暗号化を有効または無効にするか、証明書を更新すると、コントローラーノードが再起動します。これにより、一時的な接続エラーが発生します。これらの操作はオフピーク時に実行し、アプリケーションに再接続メカニズムがあることを確認してください。
SSL 暗号化を有効にする
AnalyticDB for MySQL コンソールにログインします。コンソールの左上隅でリージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。管理するクラスターを見つけて、クラスター ID をクリックします。
SSL 設定ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、クラスター設定 をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブで、[SSL ステータス] スイッチをオンにします。
[SSL 暗号化の設定] ダイアログボックスで、保護するエンドポイントを選択し、[OK] をクリックします。
重要AnalyticDB for MySQL は、内部エンドポイントとパブリックエンドポイントの暗号化をサポートしています。ただし、クラスターごとに 1 つのエンドポイントしか暗号化できません。SSL 暗号化を有効にした後、[SSL の設定] をクリックして、暗号化されたエンドポイントを変更できます。この変更により、証明書が自動的に更新され、コントローラーノードが再起動します。
パブリックエンドポイントを暗号化するには、まずクラスターの パブリックエンドポイントを有効にする 必要があります。そうしないと、パブリックエンドポイントは暗号化できません。
[SSL 暗号化] が有効になったら、[証明書のダウンロード] をクリックします。
ダウンロードされたファイルは、次のファイルを含む圧縮パッケージです。
.p7b ファイル: Windows システムに CA 証明書をインポートするために使用されます。
.pem ファイル: 他のシステムまたは他のアプリケーションに CA 証明書をインポートするために使用されます。
.jks ファイル: Java 用の TrustStore 証明書ファイルです。パスワードは `apsaradb` です。このファイルを使用して、CA 証明書チェーンを Java アプリケーションにインポートします。
Java で JKS ファイルを使用する場合、JDK 7 および JDK 8 のデフォルトのセキュリティ設定を変更する必要があります。アプリケーションが実行されるホストで、`jre/lib/security/java.security` ファイル内の次の 2 つの設定を変更します。
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024JDK のセキュリティ設定を変更しないと、エラーが報告されます。他の同様のエラーも、通常は Java のセキュリティ設定が原因で発生します。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
SSL 証明書の有効期間を更新する
AnalyticDB for MySQL コンソールにログインします。コンソールの左上隅でリージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。管理するクラスターを見つけて、クラスター ID をクリックします。
SSL 設定ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、クラスター設定 をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブで、[有効期間の更新] をクリックします。
SSL 暗号化を無効にする
AnalyticDB for MySQL コンソールにログインします。コンソールの左上隅でリージョンを選択します。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。管理するクラスターを見つけて、クラスター ID をクリックします。
SSL 設定ページに移動します。
Enterprise Edition、Basic Edition、および Data Lakehouse Edition: 左側のナビゲーションウィンドウで、クラスター設定 をクリックします。
Data Warehouse Edition: 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[SSL 設定] タブで、[SSL ステータス] スイッチをオフにします。
[SSL の無効化] ダイアログボックスで、[OK] をクリックします。
関連する API 操作
API | 説明 |
Data Warehouse Edition クラスターの SSL 暗号化を有効または無効にします。 | |
Data Warehouse Edition クラスターの SSL 設定をクエリします。 |