为提高链路的安全性,您可以开通SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。本文介绍SSL加密功能的相关操作。
前提条件
实例类型为副本集实例或云盘版分片集群实例。
注意事项
SSL CA证书仅支持通过云数据库MongoDB控制台下载。
开通SSL加密会增加云数据库MongoDB实例的CPU使用率,建议您在有加密需求(例如通过公网连接MongoDB实例)时开通SSL加密。
说明内网链路相对较安全,一般无需对链路加密。
实例开通SSL加密后,如果修改了实例的连接地址或申请了新的连接地址(包括新的节点连接地址和公网地址),新地址将无法使用SSL加密链接。如果想要新地址也使用SSL加密连接,您需要更新服务器证书。
开通SSL后支持SSL和非SSL两种连接方式。
影响
在开通或关闭SSL加密、更新SSL证书操作时,实例会进行一次重启,建议您提前做好业务安排并确保应用有重连机制。
重启实例会对实例的节点执行轮转重启,每个节点会有30秒左右的闪断,如果集合的数量较多(超过1万),闪断时间也会随之变长。
开启SSL加密
开通SSL加密过程中,云数据库MongoDB会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。
访问MongoDB副本集实例列表或MongoDB分片集群实例列表,在上方选择地域,然后单击目标实例ID。
在目标实例页面的左侧导航栏,单击。
打开SSL状态右侧的开关。
在弹出的开通SSL对话框中,单击确定。
实例运行状态变更为SSL修改中,当SSL状态变更为已开通(实例运行状态为运行中)时,说明已开通SSL加密。
下载SSL CA证书
访问MongoDB副本集实例列表或MongoDB分片集群实例列表,在上方选择地域,然后单击目标实例ID。
在目标实例页面的左侧导航栏,单击。
单击下载证书,将SSL CA证书下载至本地。
下载的SSL CA证书可以用于加密连接数据库场景,具体请参见使用Mongo Shell通过SSL加密连接数据库。
更多操作
更新服务器证书
MongoDB服务器证书有效期为1年,证书到期后不更新,会导致使用加密连接的客户端程序无法正常连接实例。即将到期时,阿里云将会通过短信、邮件、站内信(事件中心)的方式进行提醒,并会在特定时间段自动更新该证书。您可以通过配置计划时间配置自定义证书更新时间。更多信息,请参见计划内事件。您也可以以下方式手动更新服务器证书的有效期。
服务器证书自动更新后,使用加密连接的客户端程序无需重新下载和配置CA证书即可正常连接数据库。更新SSL证书的过程中,云数据库 MongoDB 版会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,您可以通过计划时间配置自定义证书更新时间,建议您提前做好业务安排并确保应用有重连机制。
访问MongoDB副本集实例列表,在上方选择地域,然后单击目标实例ID。
在目标实例页面的左侧导航栏,单击。
单击更新证书。
在更新SSL对话框中,单击确定。
实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明服务器证书已成功更新。
关闭SSL加密
关闭SSL加密过程中,云数据库 MongoDB 版会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。
访问MongoDB副本集实例列表,在上方选择地域,然后单击目标实例ID。
在目标实例页面的左侧导航栏,单击。
关闭SSL状态右侧的开关。
在弹出的关闭SSL对话框中,单击确定。
实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明已关闭SSL加密。
相关API
接口 | 说明 |
查询云数据库MongoDB实例的SSL设置详情。 | |
修改云数据库MongoDB实例的SSL配置。 |