ApsaraDB for MongoDBインスタンスのSSL暗号化の設定 - ApsaraDB for MongoDB

このトピックでは、ApsaraDB for MongoDBインスタンスのSSL暗号化を有効にしてリンクセキュリティを強化する方法について説明します。 SSL暗号化を有効にした後、認証局 (CA) によって発行されたSSL証明書をアプリケーションにインストールします。 SSL暗号化では、トランスポート層で接続を暗号化して、データのセキュリティを強化し、データの整合性を確保できます。このトピックでは、SSL暗号化に関連する操作についても説明します。

前提条件

インスタンスは、レプリカセットインスタンスまたはクラウドディスクを使用するシャードクラスターインスタンスです。

使用上の注意

SSL証明書は、ApsaraDB for MongoDBコンソールでのみダウンロードできます。
ApsaraDB for MongoDBインスタンスのSSL暗号化を有効にすると、インスタンスのCPU使用率が大幅に増加します。送信中にデータを暗号化する必要がある場合にのみ、SSL暗号化を有効にすることを推奨します。たとえば、インターネット経由で ApsaraDB for MongoDB インスタンスに接続するときに SSL 暗号化を有効にできます。
説明
ほとんどの場合、インスタンスの内部エンドポイントへの接続は安全であり、SSL暗号化は必要ありません。
ApsaraDB for MongoDBインスタンスのSSL暗号化を有効にした後、インスタンスのエンドポイントを変更した場合、または新しいノードエンドポイントやパブリックエンドポイントなどのインスタンスの新しいエンドポイントを申請した場合、新しいエンドポイントはSSL暗号化をサポートしません。新しいエンドポイントのSSL暗号化を有効にする場合は、SSL証明書を更新します。詳細については、「SSL証明書の更新」をご参照ください。
ApsaraDB for MongoDBインスタンスのSSL暗号化を有効にすると、SSL接続と非SSL接続の両方がサポートされます。

影響

ApsaraDB for MongoDBインスタンスのSSL暗号化を有効または無効にするか、SSL証明書を更新すると、インスタンスが再起動されます。事前にビジネスを計画し、アプリケーションがインスタンスに自動的に再接続できることを確認します。

説明

ApsaraDB for MongoDBインスタンスが再起動されると、インスタンス内のすべてのノードが順番に再起動され、インスタンス内のすべてのノードで30秒間の切断が発生します。インスタンスに10,000を超えるコレクションがある場合、一時的な切断はより長く続きます。

SSL暗号化の有効化

警告

ApsaraDB for MongoDBインスタンスのSSL暗号化を有効にすると、インスタンスは再起動されます。再起動中に、インスタンス内のすべてのノードで30秒間の切断が発生します。事前にビジネスを計画し、アプリケーションがインスタンスに自動的に再接続できることを確認します。

レプリカセットインスタンスまたはシャードクラスターインスタンスページに移動します。上部のナビゲーションバーで、インスタンスが存在するリージョンを選択します。次に、インスタンスを見つけて、インスタンスのIDをクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、データセキュリティ > SSLを選択します。
SSL のステータスの横にあるスイッチをオンにします。
SSL の有効化 メッセージで、[OK] をクリックします。

インスタンスの状態が [SSLの変更] に変わります。 SSL状態が [有効] に変わり、インスタンス状態が [実行中] に変わると、SSL暗号化が有効になります。

SSL証明書のダウンロード

レプリカセットインスタンスまたはシャードクラスターインスタンスページに移動します。上部のナビゲーションバーで、インスタンスが存在するリージョンを選択します。次に、インスタンスを見つけて、インスタンスのIDをクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、データセキュリティ > SSLを選択します。
証明書のダウンロード をクリックして、SSL証明書をコンピューターにダウンロードします。

説明

ダウンロードしたSSL証明書は、データベース接続の暗号化に使用できます。詳細については、「mongo shellを使用してApsaraDB For MongoDBデータベースにSSL暗号化モードで接続する」をご参照ください。

その他の操作

SSL証明書の更新

ApsaraDB for MongoDBインスタンスのSSL証明書は1年間有効です。証明書の有効期限が切れても更新されない場合、暗号化された接続を使用するクライアントはインスタンスに接続できません。証明書の有効期限が切れると、Alibaba Cloudはテキストメッセージ、電子メール、内部メッセージ (イベントセンター) で通知し、特定の期間内に証明書を自動的に更新します。 [スケジュールイベント] を設定して、証明書の更新時間をカスタマイズできます。詳細については、「スケジュールされたイベントの表示と管理」をご参照ください。次の手順を実行して、SSL証明書の有効期間を手動で更新することもできます。

警告

SSL証明書が自動的に更新された後、暗号化された接続を使用するクライアントは、SSL証明書を再ダウンロードして再構成する必要なしにデータベースに接続できます。 SSL証明書を更新すると、インスタンスが再起動されます。再起動中に、インスタンス内のすべてのノードで30秒間の切断が発生します。 [スケジュールイベント] を設定して、証明書をカスタマイズし、時間を更新できます。事前にビジネスを計画し、アプリケーションがインスタンスに自動的に再接続できることを確認します。ApsaraDB for MongoDB

レプリカセットインスタンスページに移動します。上部のナビゲーションバーで、インスタンスが存在するリージョンを選択します。次に、インスタンスを見つけて、インスタンスのIDをクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、データセキュリティ > SSL.
[証明書の更新] をクリックします。
[SSLの更新] メッセージで、[OK] をクリックします。

インスタンスの状態が [SSLの変更] に変わります。インスタンスの状態が実行中に変わると、更新は完了です。

SSL暗号化の無効化

警告

SSL暗号化を無効にすると、インスタンスが再起動されます。再起動中に、インスタンス内のすべてのノードで30秒間の切断が発生します。事前にビジネスを計画し、アプリケーションがインスタンスに自動的に再接続できることを確認します。ApsaraDB for MongoDB

レプリカセットインスタンスページに移動します。上部のナビゲーションバーで、インスタンスが存在するリージョンを選択します。次に、インスタンスを見つけて、インスタンスのIDをクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、データセキュリティ > SSL.
SSLステータスの横にあるスイッチをオフにします。
[SSLの無効化] メッセージで、[OK] をクリックします。

インスタンスの状態が [SSLの変更] に変わります。インスタンスの状態が実行中に変わると、SSL暗号化は無効になります。

API 操作	説明
DescribeDBInstanceSSL	ApsaraDB for MongoDB インスタンスの SSL 設定を照会します。
ModifyDBInstanceSSL	ApsaraDB for MongoDB インスタンスの SSL 設定を変更します。

ApsaraDB for MongoDB:ApsaraDB for MongoDBインスタンスのSSL暗号化の設定