全部產品
Search
文件中心

:開啟TLS加密

更新時間:Oct 25, 2024

雲原生記憶體資料庫Tair支援TLS(Transport Layer Security)加密協議,TLS協議具有比SSL(Secure Sockets Layer)協議更好的加密技術和更進階別的安全性,可進一步保障資料通訊安全。

背景資訊

TLS協議是SSL協議的升級版,當前已成為互連網加密通訊的標準協議,在現代網路中被廣泛使用。以下是TLS相對SSL的一些優勢:

  • 加密強度:TLS協議使用更強大的加密技術,例如AES(Advanced Encryption Standard)演算法。

  • 安全性:TLS協議採用更安全的演算法和協議,例如SHA-2(Secure Hash Algorithm 2)演算法。

  • 相容性:TLS協議是更現代化的協議,更加相容現代瀏覽器和伺服器,且支援更廣泛的加密協議和密碼套件。

  • 安全更新:TLS協議支援即時升級密碼編譯演算法和協議。

因此,若您希望在傳輸層對網路連接進行加密,推薦您使用更安全、更新的TLS加密功能(該功能預設關閉)。

前提條件

  • 執行個體版本為記憶體型或持久記憶體型。

  • 執行個體類型為高可用(雙副本)。

  • 若執行個體已申請公網串連地址,請釋放公網串連地址,釋放後才能開啟TLS加密功能。

    說明

    本地碟版叢集架構執行個體已申請直連地址,也請釋放直連地址。

注意事項

  • 開啟TLS加密功能後,執行個體將不支援申請公網串連地址,同時本地碟版叢集執行個體也無法申請直連地址,用戶端只能通過專用網路、TLS加密方式串連執行個體。串連樣本請參見啟用TLS(SSL)加密串連Tair

  • 開啟TLS加密功能後,執行個體將不支援遷移可用性區域。

  • 開啟TLS加密功能後,若修改了執行個體的串連地址或連接埠號碼,請更新執行個體TLS認證,再進行串連。否則會報錯No subject alternative DNS name matching xxx found

操作步驟

  1. 訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊TLS(SSL)設定

  3. 單擊一鍵開通

  4. 在彈出的對話方塊中,選擇TLS版本

    參數說明:

    • TLSv1.3(推薦):RFC8446,2018年發布,相比較TLSv1.2,TLSv1.3具有更快、更安全的特性。

    • TLSv1.2(推薦):RFC5246,2008年發布,具有強大的加密技術,能提供更好的安全保護。

    • TLSv1.1:RFC4346,2006年發布,修複TLSv1.0若干漏洞。

    • TLSv1.0:RFC2246,1999年發布,基於SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE)。

  5. 單擊確定

    警告

    本操作將觸發重啟執行個體,執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。

    此時,您可以通過重新整理控制台頁面,更新TLS的開通狀態。

    開通TLS後,您可以單擊頁面中的下載CA認證,將CA認證匯入至用戶端中。下載的檔案為壓縮包,包含如下三個檔案:

    • ApsaraDB-CA-Chain.p7b:用於Windows系統中匯入CA認證。

    • ApsaraDB-CA-Chain.pem:用於其他系統(如Linux)或應用中匯入CA認證。

    • ApsaraDB-CA-Chain.jks:Java中的truststore憑證存放區檔案,用於Java程式中匯入CA憑證鏈結。

    不同執行個體下載的CA認證均相同,可以用於串連任何執行個體。

管理TLS加密設定

以下操作需要在執行個體已開通TLS加密後進行。

  1. 訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊TLS(SSL)設定

  3. 根據要執行的操作,選擇下述操作步驟。

    要執行的操作

    操作說明

    更新CA認證

    單擊頁面中的更新認證,然後單擊確定

    開通TLS加密時,認證的預設有效期間為3年,且不支援自訂有效期間。在認證到期前20天,Tair會發起主動營運,更新認證有效期間。屆時,您可以在事件管理 > 計劃內事件中修改營運時間。或者您也可以隨時單擊更新認證並重新下載配置CA認證,更新後,認證將重新擷取3年有效期間。

    警告

    本操作會使執行個體出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。

    修改TLS版本

    單擊TLS版本右側的image表徵圖,然後在下拉式清單中選擇要更換的TLS版本。推薦使用TLSv1.2版本。

    說明

    如果TLS 最低版本下拉式清單處於不可用狀態,請升級執行個體的小版本後重試,具體操作請參見升級小版本

    關閉TLS加密

    關閉TLS狀態右側的開關。

    警告

    本操作將觸發重啟執行個體,執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。

    更新認證或修改TLS版本後,無需重新下載認證,可繼續使用。

相關API

API

說明

ModifyInstanceTLS(SSL)

設定Tair執行個體的TLS(SSL)加密功能。

後續步驟

啟用TLS(SSL)加密串連Tair

常見問題

  • 為什麼我的執行個體無法開啟TLS功能?

    若執行個體為本地碟版讀寫分離架構執行個體,不支援開啟TLS功能。