為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,並安裝SSL CA認證到需要的應用服務。SSL在傳輸層對網路連接進行加密,能提升通訊資料的安全性和完整性,但會同時增加網路連接回應時間。
注意事項
- SSL的認證有效期間為1年,請在1年內更新認證有效期間,否則使用加密串連的用戶端程式將無法正常串連。
- 由於SSL加密的固有缺陷,啟用SSL加密會顯著增加CPU使用率,因此僅建議您在外網訪問且有加密需求的執行個體上啟用SSL加密,內網鏈路相對較安全,一般無需對鏈路加密。
開啟SSL加密
警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
- 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台。
- 在控制台左上方,選擇執行個體所在地區。
- 找到目標執行個體,單擊執行個體ID。
- 單擊左側導覽列中的資料安全性。
- 單擊SSL頁簽。
- 開啟SSL認證資訊的開關。
- 在開通SSL認證頁面,單擊確定。
- 待SSL認證資訊顯示為已開通後,單擊下載認證。下載的檔案為壓縮包,包含如下三個檔案:
- .p7b格式檔案:用於Windows系統中匯入CA認證。
- .pem格式檔案:用於其他系統或應用中匯入CA認證。
- .jks格式檔案:Java中的TrustStore憑證存放區檔案,密碼為apsaradb,用於Java程式中匯入CA憑證鏈結。
在Java中使用JKS認證檔案時,JDK7和JDK8需要修改預設的JDK安全配置,在應用程式所在主機的jre/lib/security/Java.security檔案中,修改如下兩項配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
若不修改JDK安全配置,會報如下錯誤。其它類似報錯,一般也都由Java安全配置導致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
更新有效期間
警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
- 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台。
- 在控制台左上方,選擇執行個體所在地區。
- 找到目標執行個體,單擊執行個體ID。
- 單擊左側導覽列中的資料安全性。
- 單擊SSL頁簽。
- 單擊SSL認證資訊右側更新有效期間。
- 在更新SSL認證有效期間頁面,單擊確定。
關閉SSL加密
警告 該操作會重啟執行個體,為避免對您的業務產生影響,建議您在業務低峰期進行操作。
- 登入雲原生資料倉儲AnalyticDB PostgreSQL版控制台。
- 在控制台左上方,選擇執行個體所在地區。
- 找到目標執行個體,單擊執行個體ID。
- 單擊左側導覽列中的資料安全性。
- 單擊SSL頁簽。
- 關閉SSL認證資訊的開關。
- 在關閉SSL認證頁面,單擊確定。
相關API
API | 說明 |
DescribeDBInstanceSSL | 擷取SSL加密的資訊。 |
ModifyDBInstanceSSL | 開啟、關閉SSL加密或更新SSL加密有效期間。 |