データ伝送のセキュリティを向上させるために、SSL暗号化を有効にし、認証局 (CA) によって発行されたSSL証明書を必要なアプリケーションにインストールできます。 SSLは、トランスポート層で接続を暗号化するために使用されます。 SSLは、送信されたデータのセキュリティと整合性を強化し、データが第三者によって聞かれ、傍受され、改ざんされるのを防ぐことができます。 ただし、SSL暗号化はネットワーク接続の応答時間を増加させます。 このトピックでは、AnalyticDB for MySQLクラスターのSSL暗号化を有効化および無効化し、SSL証明書の有効期間を更新する方法について説明します。
前提条件
AnalyticDB for MySQLクラスターにSSL暗号化を設定する前に、次の要件が満たされていることを確認してください。
AnalyticDB for MySQLクラスターはData Warehouse Editionです。
AnalyticDB for MySQLクラスターのマイナーバージョンは3.2.1.0以降です。
説明AnalyticDB For MySQL Data Warehouse Editionクラスターのマイナーバージョンを表示および更新する方法については、「クラスターのマイナーバージョンの更新」をご参照ください。
背景情報
SSLは、webサーバーとブラウザ間の暗号化通信を可能にするためにNetscapeによって開発されました。 SSLは、RC4、MD5、RSAなどのさまざまな暗号化アルゴリズムをサポートします。 インターネットエンジニアリングタスクフォース (IETF) は、SSL 3.0をトランスポート層セキュリティ (TLS) にアップグレードしました。 ただし、業界では「SSL暗号化」という用語がまだ使用されています。 このトピックでは、SSL暗号化はTLS暗号化を指します。
データのセキュリティを確保するために、AnalyticDB for MySQLでTLS 1.2を使用することを推奨します。
使用上の注意
SSL証明書は1年間有効です。 使用済みSSL証明書の有効期限が切れる前に、SSL証明書の有効期間を更新する必要があります。 そうしないと、暗号化されたネットワーク接続を使用するアプリケーションまたはクライアントはAnalyticDB for MySQLクラスターに接続できません。
SSL暗号化は、CPU利用率の大幅な増加を引き起こし得る。 ビジネス要件に基づいてSSL暗号化を有効にすることを推奨します。
SSL暗号化を有効または無効にするか、AnalyticDB for MySQLクラスターのSSL証明書の有効期間を更新すると、クラスターが再起動され、一時的な接続が発生する可能性があります。 オフピーク時に操作を実行し、アプリケーションがクラスターに自動的に再接続できることを確認することを推奨します。
SSL暗号化の有効化
AnalyticDB for MySQL コンソールにログインします。 ホームページの左上でリージョンを選択します。 左側のナビゲーションウィンドウで、クラスターリスト をクリックします。 クラスターリスト ページで、エディションタブをクリックします。 管理するクラスターを確認し、クラスター ID をクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[SSL設定] タブをクリックし、[SSLステータス] をオンにします。
[SSL暗号化の設定] ダイアログボックスで、保護されたエンドポイントを選択し、[OK] をクリックします。
重要AnalyticDB for MySQLでは、プライベートエンドポイントまたはパブリックエンドポイントの両方ではなく、SSL暗号化を設定できます。 保護されたエンドポイントを変更できます。 変更後、証明書は自動的に更新され、AnalyticDB for MySQLクラスターが再起動されます。
AnalyticDB for MySQLクラスターのパブリックエンドポイントを暗号化するには、クラスターのパブリックエンドポイントを申請したことを確認してください。 詳細については、「パブリックエンドポイントの申請またはリリース」をご参照ください。
SSLステータスを有効にした後、 [証明書のダウンロード] をクリックします。
ダウンロードしたパッケージには、次のファイルが含まれます。
P7Bファイル: Windowsオペレーティングシステムで使用されるSSL証明書ファイル。
PEMファイル: Windows以外のオペレーティングシステムまたはWindowsで実行されていないアプリケーションに使用されるSSL証明書ファイルです。
JKSファイル: Javaでサポートされているトラストストアに保存されているCA証明書ファイル。 このファイルを使用して、CA証明書チェーンをJavaベースのアプリケーションにインポートできます。 デフォルトのパスワードはapsaradbです。
JDK 7またはJDK 8でJKSファイルを使用する場合は、アプリケーションがデプロイされているホストのjre/lib/security/Java.securityファイル内の次のデフォルトのJDKセキュリティ設定項目を変更する必要があります。
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
上記の設定を変更しない場合、次のエラーが返されます。 ほとんどの場合、無効なJavaセキュリティ設定によって同様のエラーが発生します。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
SSL証明書の有効期間の更新
AnalyticDB for MySQL コンソールにログインします。 ホームページの左上でリージョンを選択します。 左側のナビゲーションウィンドウで、クラスターリスト をクリックします。 クラスターリスト ページで、エディションタブをクリックします。 管理するクラスターを確認し、クラスター ID をクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[SSL設定] タブをクリックし、[有効期間の更新] をクリックします。
SSL暗号化の無効化
AnalyticDB for MySQL コンソールにログインします。 ホームページの左上でリージョンを選択します。 左側のナビゲーションウィンドウで、クラスターリスト をクリックします。 クラスターリスト ページで、エディションタブをクリックします。 管理するクラスターを確認し、クラスター ID をクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[SSL設定] タブをクリックし、[SSLステータス] をオフにします。
[SSL暗号化の無効化] メッセージで、[OK] をクリックします。
関連する API
API 操作 | 説明 |
AnalyticDB for MySQL Data Warehouse EditionクラスターのSSL設定を変更します。 | |
AnalyticDB for MySQL Data Warehouse EditionクラスターのSSL設定を照会します。 |