全部產品
Search
文件中心

:設定SSL加密

更新時間:Feb 05, 2024

為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,並安裝SSL CA認證到需要的應用服務。SSL在傳輸層對網路連接進行加密,能提升通訊資料的安全性和完整性,但會同時增加網路連接回應時間。

注意事項

  • SSL的認證有效期間為1年,請在1年內更新認證有效期間,否則使用加密串連的用戶端程式將無法正常串連。
  • 由於SSL加密的固有缺陷,啟用SSL加密會顯著增加CPU使用率,因此僅建議您在外網訪問且有加密需求的執行個體上啟用SSL加密,內網鏈路相對較安全,一般無需對鏈路加密。

開啟SSL加密

警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
  1. 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台
  2. 在控制台左上方,選擇執行個體所在地區。
  3. 找到目標執行個體,單擊執行個體ID。
  4. 單擊左側導覽列中的資料安全性
  5. 單擊SSL頁簽。
  6. 開啟SSL認證資訊的開關。
  7. 開通SSL認證頁面,單擊確定
  8. SSL認證資訊顯示為已開通後,單擊下載認證
    下載的檔案為壓縮包,包含如下三個檔案:
    • .p7b格式檔案:用於Windows系統中匯入CA認證。
    • .pem格式檔案:用於其他系統或應用中匯入CA認證。
    • .jks格式檔案:Java中的TrustStore憑證存放區檔案,密碼為apsaradb,用於Java程式中匯入CA憑證鏈結。

      在Java中使用JKS認證檔案時,JDK7和JDK8需要修改預設的JDK安全配置,在應用程式所在主機的jre/lib/security/Java.security檔案中,修改如下兩項配置:

      jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
      jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

      若不修改JDK安全配置,會報如下錯誤。其它類似報錯,一般也都由Java安全配置導致。

      javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

更新有效期間

警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
  1. 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台
  2. 在控制台左上方,選擇執行個體所在地區。
  3. 找到目標執行個體,單擊執行個體ID。
  4. 單擊左側導覽列中的資料安全性
  5. 單擊SSL頁簽。
  6. 單擊SSL認證資訊右側更新有效期間
  7. 更新SSL認證有效期間頁面,單擊確定

關閉SSL加密

警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
  1. 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台
  2. 在控制台左上方,選擇執行個體所在地區。
  3. 找到目標執行個體,單擊執行個體ID。
  4. 單擊左側導覽列中的資料安全性
  5. 單擊SSL頁簽。
  6. 關閉SSL認證資訊的開關。
  7. 關閉SSL認證頁面,單擊確定

相關API

API說明
DescribeDBInstanceSSL擷取SSL加密的資訊。
ModifyDBInstanceSSL開啟、關閉SSL加密或更新SSL加密有效期間。