PolarDB:SSL 暗号化の構成

背景情報

SSLは、webサーバーとブラウザ間の暗号化通信をサポートするためにNetscapeによって開発されました。 SSLは、RC4、MD5、RSAなどのさまざまな暗号化アルゴリズムをサポートします。 インターネットエンジニアリングタスクフォース (IETF) は、SSL 3.0をトランスポート層セキュリティ (TLS) にアップグレードしました。 ただし、業界では「SSL暗号化」という用語がまだ使用されています。 このトピックでは、SSL暗号化はTLS暗号化を指します。

使用上の注意

• SSL証明書の有効期間は1年です。 SSL証明書の有効期限が切れる前に、SSL証明書を更新する必要があります。 また、必要なSSL証明書ファイルをダウンロードし、SSL証明書を更新した後にSSL証明書を再設定する必要があります。 それ以外の場合、暗号化された接続を介してクラスターに接続されているクライアントは切断されます。 SSL証明書を更新する方法の詳細については、「SSL証明書の更新」をご参照ください。

• SSL暗号化は、CPU利用率の大幅な増加を引き起こし得る。 クラスターのパブリックエンドポイントに対して確立されている接続を暗号化する場合にのみ、SSL暗号化を有効にすることを推奨します。 ほとんどの場合、クラスターの内部エンドポイントへの接続は安全であり、SSL暗号化は必要ありません。

• SSL暗号化が有効になっているエンドポイントを変更すると、SSL証明書が自動的に更新され、クラスターが再起動されます。 作業は慎重に行ってください。

• SSL証明書を更新すると、クラスターは自動的に再起動されます。 作業は慎重に行ってください。

• SSL暗号化を有効にするには、PolarDBクラスターのエンドポイントの長さが64文字未満である必要があります。 エンドポイントを変更する方法の詳細については、「PolarProxyの設定」をご参照ください。

SSL暗号化の有効化とSSL証明書のダウンロード

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理.

5. On theSSL設定タブ、オンにするSSLSSL暗号化を有効にします。

   

   説明

   PolarDB for MySQL 8.0、5.7、および5.6クラスターのプライマリエンドポイント、クラスターエンドポイント、およびカスタムエンドポイントに対してSSL暗号化を有効にできます。

6. では、SSLの設定ダイアログボックスで、SSL暗号化を有効にするエンドポイントを選択し、OK.

   説明

   必要に応じて、パブリックエンドポイントまたは内部エンドポイントを選択できます。 ただし、選択できるエンドポイントは1つだけです。

   

7. SSL暗号化の状態が有効をクリックします。証明書のダウンロード.

   

   ダウンロードしたファイルは、次のファイルを含むパッケージです。

   • P7Bファイル。 このファイルは、CA証明書をWindowsシステムにインポートするために使用されます。

   • PEMファイル。 このファイルは、CA証明書をWindows以外のオペレーティングシステムまたはWindowsで実行されていないアプリケーションにインポートするために使用されます。

   • JKSファイル。 このファイルはJavaのトラストストアです。 パスワードは、「apsaradb」 です。 このファイルは、CA証明書チェーンをJavaプログラムにインポートするために使用されます。

     説明

     JavaでJKS証明書ファイルを使用するには、JDK 7およびJDK 8のデフォルトのJDKセキュリティ構成を変更する必要があります。 これは、PolarDBクラスターに接続するサーバーのjre/lib/security/java.securityファイルの次の設定を更新することで実行できます。

     jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
     jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024 

     これらの設定を変更しない場合、次のエラーが返されます。 ほとんどの場合、他の同様のエラーも無効なJavaセキュリティ設定によって発生します。

     javax.net.ssl.SSLHandshakeException: DHPublicKeyはアルゴリズム制約に準拠していません

   SSL暗号化が有効になっているエンドポイントを変更する場合は、[SSLの設定] をクリックします。

   重要

   SSL暗号化が有効になっているエンドポイントを変更すると、SSL証明書が自動的に更新され、クラスターが再起動されます。 作業は慎重に行ってください。

SSL証明書の設定

SSL暗号化を有効にした後、SSL証明書を設定する必要があります。 SSL証明書は、アプリケーションまたはクライアントがPolarDBクラスターに接続するために必要です。 このセクションでは、MySQL WorkbenchとNavicatを例として使用して、SSL証明書を設定する方法を説明します。 他のアプリケーションやクライアントを使用する場合は、関連する手順を参照してください。

MySQL WorkbenchでSSL証明書を設定するには、次の手順を実行します。

1. MySQL Workbenchを起動します。

2. 選択データベース > 接続の管理.

3. 有効化SSLの使用SSL証明書ファイルをインポートします。

NavicatでSSL証明書を設定するには、次の手順を実行します。

1. Navicatを開始します。

2. データベースを右クリックし、接続の編集.

   

3. をクリックし、SSLタブをクリックし、次の図に示すようにPEM証明書ファイルのパスを選択します。

   

4. [OK] をクリックします。

   説明

   既存の接続を閉じない場合は、同じ接続名の接続が既にプロジェクトに存在します。 エラーになります。 この場合、Navicatを閉じてからもう一度開く必要があります。

5. データベースをダブルクリックして、Navicatがデータベースに接続できるかどうかを確認します。

   

SSL証明書の更新

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理.

5. On theSSL設定タブをクリックします。有効期間の更新.

   

6. 表示されるメッセージで、OK.

7. SSL証明書を更新したら、SSL証明書をダウンロードして再度設定します。

   説明

   • SSL証明書をダウンロードする方法の詳細については、「SSL暗号化の有効化とSSL証明書のダウンロード」の手順7をご参照ください。

   • SSL証明書の設定方法の詳細については、「SSL証明書の設定」をご参照ください。

自動証明書ローテーションの有効化

1. [SSL設定] タブで、[詳細設定] をクリックします。

2. [詳細設定] ダイアログボックスで [自動証明書ローテーション] を選択し、[確認] をクリックします。

SSL 暗号化の無効化

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理.

5. On theSSL設定タブ、オフにするSSLSSL暗号化を無効にします。

6. 表示されるメッセージで、OK.

SSL暗号化スイートの表示

SSLプロトコルには多くのバージョンがあります。 PolarDBはTLS V1.2以降のみをサポートします。 SSLハンドシェイク中に、クライアントはTLSバージョン、暗号化スイート、セッションキーなどのネゴシエーション情報をPolarDBクラスターと交換します。 サポートされているすべての暗号化スイートの詳細については、OpenSSL公式Webサイトをご覧ください。

SSL接続が確立されたら、次のステートメントを実行して、接続に使用されるSSL暗号化スイートを表示できます。

「ssl_cipher」のようなステータスを表示します。+ --------------- + ------------------- +
| Variable_name | 値 |
+ --------------- + ------------------- +
| Ssl_cipher | AES128-GCM-SHA256 |
+ --------------- 

接続が暗号化されていない場合、ステートメントは空の変数を返します。

関連する API 操作