雲原生記憶體資料庫Tair支援TLS(Transport Layer Security)加密協議,TLS協議具有比SSL(Secure Sockets Layer)協議更好的加密技術和更進階別的安全性,可進一步保障資料通訊安全。
背景資訊
TLS協議是SSL協議的升級版,當前已成為互連網加密通訊的標準協議,在現代網路中被廣泛使用。以下是TLS相對SSL的一些優勢:
加密強度:TLS協議使用更強大的加密技術,例如AES(Advanced Encryption Standard)演算法。
安全性:TLS協議採用更安全的演算法和協議,例如SHA-2(Secure Hash Algorithm 2)演算法。
相容性:TLS協議是更現代化的協議,更加相容現代瀏覽器和伺服器,且支援更廣泛的加密協議和密碼套件。
安全更新:TLS協議支援即時升級密碼編譯演算法和協議。
因此,若您希望在傳輸層對網路連接進行加密,推薦您使用更安全、更新的TLS加密功能(該功能預設關閉)。
前提條件
執行個體版本為記憶體型或持久記憶體型。
執行個體類型為高可用(雙副本)。
若執行個體已申請公網串連地址,請釋放公網串連地址,釋放後才能開啟TLS加密功能。
說明若本地碟版叢集架構執行個體已申請直連地址,也請釋放直連地址。
注意事項
開啟TLS加密功能後,執行個體將不支援申請公網串連地址,同時本地碟版叢集執行個體也無法申請直連地址,用戶端只能通過專用網路、TLS加密方式串連執行個體。串連樣本請參見啟用TLS(SSL)加密串連Tair。
開啟TLS加密功能後,執行個體將不支援遷移可用性區域。
開啟TLS加密功能後,若修改了執行個體的串連地址或連接埠號碼,請更新執行個體TLS認證,再進行串連。否則會報錯
No subject alternative DNS name matching xxx found
。
操作步驟
訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊TLS(SSL)設定。
單擊一鍵開通。
在彈出的對話方塊中,選擇TLS版本。
參數說明:
TLSv1.3(推薦):RFC8446,2018年發布,相比較TLSv1.2,TLSv1.3具有更快、更安全的特性。
TLSv1.2(推薦):RFC5246,2008年發布,具有強大的加密技術,能提供更好的安全保護。
TLSv1.1:RFC4346,2006年發布,修複TLSv1.0若干漏洞。
TLSv1.0:RFC2246,1999年發布,基於SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE)。
單擊確定。
警告本操作將觸發重啟執行個體,執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。
此時,您可以通過重新整理控制台頁面,更新TLS的開通狀態。
開通TLS後,您可以單擊頁面中的下載CA認證,將CA認證匯入至用戶端中。下載的檔案為壓縮包,包含如下三個檔案:
ApsaraDB-CA-Chain.p7b:用於Windows系統中匯入CA認證。
ApsaraDB-CA-Chain.pem:用於其他系統(如Linux)或應用中匯入CA認證。
不同執行個體下載的CA認證均相同,可以用於串連任何執行個體。
管理TLS加密設定
以下操作需要在執行個體已開通TLS加密後進行。
訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊TLS(SSL)設定。
根據要執行的操作,選擇下述操作步驟。
要執行的操作
操作說明
更新CA認證
單擊頁面中的更新認證,然後單擊確定。
開通TLS加密時,認證的預設有效期間為3年,且不支援自訂有效期間。在認證到期前20天,Tair會發起主動營運,更新認證有效期間。屆時,您可以在 中修改營運時間。或者您也可以隨時單擊更新認證並重新下載配置CA認證,更新後,認證將重新擷取3年有效期間。
警告本操作會使執行個體出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。
修改TLS版本
單擊TLS版本右側的表徵圖,然後在下拉式清單中選擇要更換的TLS版本。推薦使用TLSv1.2版本。
說明如果TLS 最低版本下拉式清單處於不可用狀態,請升級執行個體的小版本後重試,具體操作請參見升級小版本。
關閉TLS加密
關閉TLS狀態右側的開關。
警告本操作將觸發重啟執行個體,執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。
更新認證或修改TLS版本後,無需重新下載認證,可繼續使用。
相關API
API | 說明 |
設定Tair執行個體的TLS(SSL)加密功能。 |
後續步驟
常見問題
為什麼我的執行個體無法開啟TLS功能?
若執行個體為本地碟版讀寫分離架構執行個體,不支援開啟TLS功能。