Tair (Redis® OSS-Compatible)：開啟TLS加密

前提條件

注意事項

• 建立TLS串連需要經歷多次握手過程，包括認證和金鑰交換，這些步驟會佔用顯著的計算資源和時間，建立TLS串連的速度顯著低於建立普通串連。在短時間內無法快速建立大量TLS串連，且頻繁建立TLS串連會顯著影響正常請求的延遲。因此，建議通過使用TLS長串連來減少這些開銷，盡量避免頻繁建立和銷毀TLS串連，以降低對效能的影響。

• 建立TLS串連後，使用TLS串連傳輸資料，由於所有的資料都需要加密、解密，也會產生額外開銷，這些額外開銷會伴隨傳輸內容大小增長。

  說明

  具體的效能影響因業務情境而異，需要進行實際測試來評估在特定業務環境下的影響程度。

• 開啟TLS加密功能後，執行個體將不支援申請公網串連地址，同時經典版叢集執行個體也無法申請直連地址，用戶端只能通過專用網路、TLS加密方式串連執行個體。串連樣本請參見啟用TLS（SSL）加密串連執行個體。

• 開啟TLS加密功能後，執行個體將不支援遷移可用性區域。

• 開啟TLS加密功能後，若修改了執行個體的串連地址或連接埠號碼，請更新執行個體TLS認證，再進行串連。否則會報錯No subject alternative DNS name matching xxx found。

操作步驟

1. 訪問執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列，單擊TLS（SSL）設定。

3. 單擊一鍵開通。

4. 在彈出的對話方塊中，選擇TLS版本。

   參數說明：

   • TLSv1.3（推薦）：RFC8446，2018年發布，相比較TLSv1.2，TLSv1.3具有更快、更安全的特性。

   • TLSv1.2（推薦）：RFC5246，2008年發布，具有強大的加密技術，能提供更好的安全保護。

   • TLSv1.1：RFC4346，2006年發布，修複TLSv1.0若干漏洞。

   • TLSv1.0：RFC2246，1999年發布，基於SSLv3.0，該版本易受各種攻擊（如BEAST和POODLE）。

5. 單擊確定。

   警告

   本操作將觸發重啟執行個體，執行個體會出現秒級的串連閃斷，請在業務低峰期執行該操作並確保應用具備重連機制。

   此時，您可以通過重新整理控制台頁面，更新TLS的開通狀態。

   開通TLS後，您可以單擊頁面中的下載CA認證，將CA認證匯入至用戶端中。下載的檔案為壓縮包，包含如下三個檔案：

   • ApsaraDB-CA-Chain.p7b：用於Windows系統中匯入CA認證。

   • ApsaraDB-CA-Chain.pem：用於其他系統（如Linux）或應用中匯入CA認證。

   • ApsaraDB-CA-Chain.jks：Java中的truststore憑證存放區檔案，用於Java程式中匯入CA憑證鏈結。

   不同執行個體下載的CA認證均相同，可以用於串連任何執行個體。

管理TLS加密設定

以下操作需要在執行個體已開通TLS加密後進行。

1. 訪問執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列，單擊TLS（SSL）設定。

3. 根據要執行的操作，選擇下述操作步驟。

   要執行的操作	操作說明
   更新CA認證	單擊頁面中的更新認證，然後單擊確定。 開通TLS加密時，認證的預設有效期間為3年，且不支援自訂有效期間。在認證到期前20天，執行個體會發起主動營運，更新認證有效期間。屆時，您可以在事件管理 > 計劃內事件中修改營運時間。或者您也可以隨時單擊更新認證並重新下載配置CA認證，更新後，認證將重新擷取3年有效期間。 警告 本操作會使執行個體出現秒級的串連閃斷，請在業務低峰期執行該操作並確保應用具備重連機制。
   修改TLS版本	單擊TLS版本右側的表徵圖，然後在下拉式清單中選擇要更換的TLS版本。推薦使用TLSv1.2版本。 說明 如果TLS 最低版本下拉式清單處於不可用狀態，請升級執行個體的小版本後重試，具體操作請參見升級小版本與代理版本。
   關閉TLS加密	關閉TLS狀態右側的開關。 警告 本操作將觸發重啟執行個體，執行個體會出現秒級的串連閃斷，請在業務低峰期執行該操作並確保應用具備重連機制。

   更新認證或修改TLS版本後，無需重新下載認證，可繼續使用。

相關API

常見問題

• 為什麼我的執行個體無法開啟TLS功能？

  若執行個體為經典版讀寫分離架構執行個體，不支援開啟TLS功能。