為提高鏈路的安全性,您可以啟用SSL(Secure Sockets Layer)加密,然後安裝SSL CA認證到您的應用服務。SSL加密功能在傳輸層對網路連接進行加密,在提升通訊資料安全性的同時,保證資料的完整性。
前提條件
執行個體部署模式為經典版。
執行個體版本為4.0或5.0。
執行個體架構類型為叢集架構。
注意事項
2023年4月07日Tair(Redis OSS-compatible)將SSL加密功能更新為TLS加密功能,同時不再支援開通SSL加密功能。若您已開通SSL加密功能,您可以繼續使用也可以關閉SSL,但關閉後無法再次開啟,更多資訊請參見【通知】SSL功能更新至TLS功能。
SSL的認證有效期間為3年,請及時更新認證有效期間並重新下載配置CA認證,否則使用加密串連的用戶端程式將無法正常串連。
由於開通SSL加密會增加Tair(以及Redis開源版)服務的網路回應時間,建議僅在有加密需求時才開通SSL加密(例如通過公網串連執行個體)。
開通SSL後同時支援SSL和非SSL兩種串連方式。
操作步驟
訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊TLS(SSL)設定。
根據要執行的操作,選擇下述操作步驟。
要執行的操作
操作說明
開通或關閉SSL加密
開啟或關閉SSL證書資訊右側的開關。
更新CA認證
單擊頁面右上方的更新認證,然後單擊確定。
認證有效期間為3年,您可以隨時點擊更新認證並重新下載配置CA認證,更新後,認證將重新擷取3年有效期間。
下載CA認證
單擊頁面右上方的下載CA認證。
警告執行開通SSL加密和更新認證有效期間的操作將觸發重啟執行個體動作。執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。
常見問題
Q:出現“版本不支援”的錯誤提示怎麼辦?
A:您需要將執行個體的小版本升級至最新,具體操作請參見升級小版本與代理版本。
Q:下載的CA認證有哪些檔案?
A:下載的檔案為壓縮包,包含如下三個檔案:
ApsaraDB-CA-Chain.p7b:用於Windows系統中匯入CA認證。
ApsaraDB-CA-Chain.pem:用於其他系統(如Linux)或應用中匯入CA認證。
ApsaraDB-CA-Chain.jks:Java中的truststore憑證存放區檔案,用於Java程式中匯入CA憑證鏈結。
SSL串連方法參考
相關API
API | 說明 |
設定執行個體的SSL加密功能。 |