阿里云助力您在中国加快取得成功
一站式安全合规咨询服务
MLPS 2.0 一站式合规解决方案
依托我们的网络进军中国市场
提升面向互联网应用的性能和安全性
保障您的中国业务安全无忧
通过强大的数据安全框架保护您的数据资产
申请 ICP 备案的流程解读和咨询服务
面向大数据建设、管理及应用的全域解决方案
企业内大数据建设、管理和应用的一站式解决方案
将您的采购和销售置于同一企业级全渠道数字平台上
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
快速搭建在线教育平台
提供域名注册、分析和保护服务
即时部署可伸缩的虚拟云服务器
完全托管、本地部署的阿里云基础架构和服务。
阿里云开放给企业应用服务商和其客户的服务管理PaaS平台
助您构建公共云上的专有资源池
富弹性可伸缩的高性能计算服务
易用、安全、高效的云上桌面服务
高效运维、稳定安全和操作流畅的云端虚拟手机
基于GPU的弹性计算服务
可快速搭建应用且易于管理的轻量级云服务器
根据用户的业务需求和策略,自动调整其弹性计算资源的管理服务
云原生 Kubernetes 容器化应用运行环境
以 Kubernetes 为使用界面的容器服务产品,提供符合容器规范的算力资源
安全的镜像托管服务,支持全生命周期管理
多集群环境下微服务应用流量统一管理
提供任意基础设施上容器集群的统一管控,助您轻松管控分布式云场景
高弹性、高可靠的企业级无服务器 Kubernetes 容器产品
敏捷安全的 Serverless 容器运行服务
为虚拟机和容器提供高可靠性、高性能、低时延的块存储服务
一款海量、安全、低成本、高可靠的云存储服务
可靠、弹性、高性能、多共享的文件存储服务
全托管、可扩展的并行文件系统服务。
全托管的 NoSQL 结构化数据实时存储服务
可抵扣多种存储产品的容量包,兼具灵活性和长期成本优化
让您的应用跨不同可用区资源自动分配访问量
随时绑定和解绑 VPC ECS
云网络公网、跨域流量统一计费
高性价比,可抵扣按流量计费的流量费用
创建云上隔离的网络,在专有环境中运行资源
在 VPC 环境下构建公网流量的出入口
具备网络状态可视化、故障智能诊断能力的自助式网络运维服务。
安全便捷的云上服务专属连接
基于阿里云专有网络的私有 DNS 解析服务
保障在线业务不受大流量 DDoS 攻击影响
系统运维和安全审计管控平台
业务上云的第一个网络安全基础设施
集零信任内网访问、办公数据保护、终端管理等多功能于一体的办公安全管控平台
提供7X24小时安全运维平台
防御常见 Web 攻击,缓解 HTTP 泛洪攻击
实现全站 HTTPS,呈现可信的 WEB 访问
为云上应用提供符合行业标准和密码算法等级的数据加解密、签名验签和数据认证能力
一款发现、分类和保护敏感数据的安全服务
创建、控制和管理您的加密密钥
快速提高应用高可用能力服务
围绕应用和微服务的 PaaS 平台
兼容主流开源微服务生态的一站式平台
多集群环境下微服务应用流量统一管理
企业级全托管实时数据流平台
全托管,开箱即用的Apache Kafka全托管服务
提供物联网移动端和云交互的消息队列
开箱即用的全托管 RabbitMQ 服务
提供基于消息的可靠异步通信机制
应用之间的消息队列和通知
无服务器事件总线服务
Super MySQL 和 PostgreSQL,高度兼容 Oracle 语法
全托管 MySQL、PostgreSQL、SQL Server、MariaDB
兼容 Redis® 的缓存和KV数据库
兼容Apache Cassandra、Apache HBase、Elasticsearch、OpenTSDB 等多种开源接口
文档型数据库,支持副本集和分片架构
100%兼容 Apache HBase 并深度扩展,稳定、易用、低成本的NoSQL数据库。
低成本、高可用、可弹性伸缩的在线时序数据库服务
专为搜索和分析而设计,成本效益达到开源的两倍,采用最新的企业级AI搜索和AI助手功能。
一款兼容PostgreSQL协议的实时交互式分析产品
一种快速、完全托管的 TB/PB 级数据仓库
基于 Flink 为大数据行业提供解决方案
基于Qwen和其他热门模型的一站式生成式AI平台,可构建了解您业务的智能应用程
一站式机器学习平台,满足数据挖掘分析需求
高性能向量检索服务,提供低代码API和高成本效益
帮助您的应用快速构建高质量的个性化推荐服务能力
提供定制化的高品质机器翻译服务
全面的AI计算平台,满足大模型训练等高性能AI计算的算力和性能需求
具备智能会话能力的会话机器人
基于机器学习的智能图像搜索产品
基于阿里云深度学习技术,为用户提供图像分割、视频分割、文字识别等离线SDK能力,支持Android、iOS不同的适用终端。
语音识别、语音合成服务以及自学习平台
一站式智能搜索业务开发平台
助力金融企业快速搭建超低时延、高质量、稳定的行情数据服务
帮助企业快速测算和分析企业的碳排放和产品碳足迹
企业工作流程自动化,全面提高效率
金融级云原生分布式架构的一站式高可用应用研发、运维平台
eKYC 数字远程在线解决方案
可智能检测、大数据驱动的综合性反洗钱 (AML) 解决方案
阿里云APM类监控产品
实时云监控服务,确保应用及服务器平稳运行
为系统运维人员管理云基础架构提供全方位服务的云上自动化运维平台
面向您的云资源的风险检测服务
提升分布式环境下的诊断效率
日志类数据一站式服务,无需开发就能部署
ECS 预留实例
让弹性计算产品的成本和灵活性达到最佳平衡的付费方式。云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势自带IP上云
自带公网 IP 地址上云全球网络互联
端到端的软件定义网络解决方案,可推动跨国企业的业务发展全球应用加速
提升面向互联网应用的性能和安全性全球互联网接入
将IDC网关迁移到云端云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势金融科技云数据库解决方案
利用专为金融科技而设的云原生数据库解决方案游戏行业云数据库解决方案
提供多种成熟架构,解决所有数据问题Oracle 数据库迁移
将 Oracle 数据库顺利迁移到云原生数据库数据库迁移
加速迁移您的数据到阿里云阿里云上的数据湖
实时存储、管理和分析各种规模和类型的数据数码信贷
利用大数据和 AI 降低信贷和黑灰产风险面向企业数据技术的大数据咨询服务
帮助企业实现数据现代化并规划其数字化未来人工智能对话服务
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人EasyDispatch 现场服务管理
为现场服务调度提供实时AI决策支持在线教育
快速搭建在线教育平台窄带高清 (HD) 转码
带宽成本降低高达 30%广电级大型赛事直播
为全球观众实时直播大型赛事,视频播放流畅不卡顿直播电商
快速轻松地搭建一站式直播购物平台用于供应链规划的Alibaba Dchain
构建和管理敏捷、智能且经济高效的供应链云胸牌
针对赛事运营的创新型凭证数字服务数字门店中的云 POS 解决方案
将所有操作整合到一个云 POS 系统中元宇宙
元宇宙是下一代互联网人工智能 (AI) 加速
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速DevOps
快速、安全地最大限度提高您的DevOps优势数据迁移解决方案
加速迁移您的数据到阿里云企业 IT 治理
在阿里云上构建高效可控的云环境基于日志管理的AIOps
登录到带有智能化日志管理解决方案的 AIOps 环境备份与存档
数据备份、数据存档和灾难恢复用阿里云金融服务加快创新
在云端开展业务,提升客户满意度
为全球资本市场提供安全、准确和数字化的客户体验
利用专为金融科技而设的云原生数据库解决方案
利用大数据和 AI 降低信贷和黑灰产风险
建立快速、安全的全球外汇交易平台
新零售时代下,实现传统零售业转型
利用云服务处理流量波动问题,扩展业务运营、降低成本
快速轻松地搭建一站式直播购物平台
面向大数据建设、管理及应用的全域解决方案
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
以数字化媒体旅程为当今的媒体市场准备就绪您的内容
带宽成本降低高达 30%
快速轻松地搭建一站式直播购物平台
为全球观众实时直播大型赛事,视频播放流畅不卡顿
使用阿里云弹性高性能计算 E-HPC 将本地渲染农场连接到云端
构建发现服务,帮助客户找到最合适的内容
保护您的媒体存档安全
通过统一的数据驱动平台提供一致的全生命周期客户服务
在钉钉上打造一个多功能的电信和数字生活平台
在线存储、共享和管理照片与文件
提供全渠道的无缝客户体验
面向中小型企业,为独立软件供应商提供可靠的IT服务
打造最快途径,助力您的新云业务扬帆起航
先进的SD-WAN平台,可实现WAN连接、实时优化并降低WAN成本
通过自动化和流程标准化实现快速事件响应
针对关键网络安全威胁提供集中可见性并进行智能安全分析
提供大容量、可靠且高度安全的企业文件传输
用智能技术数字化体育赛事
基于人工智能的低成本体育广播服务
专业的广播转码及信号分配管理服务
基于云的音视频内容引入、编辑和分发服务
在虚拟场馆中模拟关键运营任务
针对赛事运营的创新型凭证数字服务
智能和交互式赛事指南
轻松管理云端背包单元的绑定直播流
通过数据加强您的营销工作
元宇宙是下一代互联网
加速迁移您的数据到阿里云
在阿里云上建立一个安全且易扩容的环境,助力高效率且高成本效益的上云旅程
迁移到完全托管的云数据库
将 Oracle 数据库顺利迁移到云原生数据库
自带公网 IP 地址上云
利用阿里云强大的安全工具集,保障业务安全、应用程序安全、数据安全、基础设施安全和帐户安全
保护、备份和还原您的云端数据资产
MLPS 2.0 一站式合规解决方案
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
实现对 CloudOps、DevOps、SecOps、AIOps 和 FinOps 的高效、安全和透明的管理
构建您的原生云环境并高效管理集群
快速、安全地最大限度提高您的DevOps优势
实施细粒度安全控制
提供运维效率和总体系统安全性
实时分析您的云消耗并实现节约
利用生成式 AI 加速创新,创造新的业务佳绩
阿里云高性能开源大模型
探索阿里云人工智能和数据智能的所有功能、新优惠和最新产品
该体验中心提供广泛的用例和产品帮助文档,助您开始使用阿里云 AI 产品和浏览您的业务数据。
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速
元宇宙是下一代互联网
构建发现服务,帮助客户找到最合适的内容
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
实时存储、管理和分析各种规模和类型的数据
登录到带有智能化日志管理解决方案的 AIOps 环境
帮助企业实现数据现代化并规划其数字化未来
帮助零售商快速规划数字化之旅
将全球知名的 CRM 平台引入中国
在线存储、共享和管理照片与文件
构建、部署和管理高可用、高可靠、高弹性的应用程序
快速、安全地最大限度提高您的DevOps优势
将您的采购和销售置于同一企业级全渠道数字平台上
企业内大数据建设、管理和应用的一站式解决方案
帮助企业简化 IT 架构、实现商业价值、加速数字化转型的步伐
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
快速搜集、处理、分析联网设备产生的数据
0.0.201
RDS MySQL的SSL(Secure Socket Layer)加密功能用于对传输中的数据进行加密,适用于增强RDS连接安全性或者满足安全合规等场景。RDS MySQL实例的SSL默认处于关闭状态。
SSL加密功能要求RDS MySQL实例系列和版本如下:
高可用系列:8.0、5.7、5.6
集群系列:8.0、5.7
基础版系列:8.0、5.7
强制SSL加密要求RDS MySQL实例版本如下:
MySQL 5.7基础版系列、高可用系列和集群系列
内核小版本大于等于20241130
SSL加密功能可以对RDS MySQL和客户端之间传输的数据进行加密,防止数据被第三方监听、截取和篡改。
开启SSL加密后,客户端连接RDS MySQL时,可以选择进行加密连接或者非加密连接。开启强制SSL加密后,客户端或代理连接RDS MySQL时,只能使用SSL加密连接。
开启SSL加密时,RDS MySQL将生成服务器证书以及公私钥。
在加密连接的建立过程中,RDS MySQL会发送服务器证书(包含公钥)给客户端,客户端用收到的公钥加密生成的对称密钥,只有RDS MySQL有私钥能够解密该对称密钥,RDS MySQL和客户端将使用该对称密钥对通信数据进行加密和解密,从而保证通信的机密性。客户端还可以使用CA证书验证收到的服务器证书以确认RDS MySQL身份,防止中间人攻击。
RDS MySQL实例支持的SSL链路加密配置及功能对比如下:
对比项 |
对比项 | ||
获取方式 | 配置数据库云端证书 | 由证书认证机构发或自签名证书颁发 |
证书有效期 | 365天 | 由您自定义 |
保护的连接地址数 | 1个 | 1个 |
证书作用 | 开启SSL链路加密,客户端验证服务端真伪。 | 开启SSL链路加密,客户端验证服务端真伪。 |
开启SSL加密、关闭SSL加密、更新证书(MySQL 5.6、5.7版本)会重启实例,RDS服务会出现实例切换,建议在业务低峰期操作,并确保您的应用有自动重连机制,自动重连需要在您的应用侧代码中设置。MySQL 8.0版本更新证书不会重启实例。实例切换的影响请参见实例切换的影响。
开启SSL加密后,建立加密连接会显著增加CPU使用率。建议您仅在外网链路有加密需求的时候采用SSL加密,内网链路相对较安全,一般无需对链路加密。
开启强制SSL加密后,客户端或数据库代理连接RDS MySQL时,只能使用SSL加密连接,非加密连接会被拒绝。
TLS(Transport Layer Security)是一种被广泛采用的传输层安全性协议,用来保障互联网通信的私密性和数据安全性。TLS协议有很多版本,RDS MySQL不同大版本对TLS的支持情况如下:
RDS MySQL版本 | TLSv1.0 | TLSv1.1 | TLSv1.2 | TLSv1.3 |
RDS MySQL版本 | TLSv1.0 | TLSv1.1 | TLSv1.2 | TLSv1.3 |
8.0 | 支持 | 支持 | 支持 | 支持 (自20221231版本起) |
5.7 | 支持 | 支持 | 支持 | 不支持 |
5.6 | 支持 | 支持 | 支持 | 不支持 |
TLSv1.0和TLSv1.1已经在2021年被IETF废弃( RFC8996),出于安全性考虑,推荐使用TLSv1.2及以上的TLS协议进行安全通信。
RDS MySQL使用OpenSSL实现TLS的安全通信。RDS MySQL在5.7的20230831和8.0的20230930版本中,升级了OpenSSL版本到3.0,此版本默认不再支持通过TLSv1.0和TLSv1.1进行通讯(详见OpenSSL官方文档)。
出于兼容性考虑,RDS MySQL通过调整ssl_cipher参数默认值为 "ALL:@SECLEVEL=0"
,恢复了对TLSv1.0和TLSv1.1的支持。
如果您的业务确认只使用TLSv1.2及以上版本的TLS协议,建议您在RDS控制台设置ssl_cipher参数为 ""
(空串),以获得更高的安全级别保障。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在SSL页签下,单击未开通前面的滑块开关。
如果没有找到SSL页签,请重新确认本文的前提条件。
在弹出的对话框中选择要开通SSL加密的地址,单击确定,开通SSL加密。
您可以根据需要,选择加密内网链路或者外网链路,但只可以选择一条链路。
(可选)如果需要强制开启SSL加密,单击是否强制开启右侧的开启按钮。
开启强制SSL加密实例需要为MySQL 5.7且内核小版本大于等于20241130。
开启强制SSL加密后,客户端或数据库代理连接RDS MySQL时,只能使用SSL加密连接,非加密连接会被拒绝。
开通SSL加密需要约1分钟,您可以手动刷新页面查看实例状态。
开启云端证书后,RDS MySQL数据库提供数据库CA证书供您下载,当您通过客户端远程连接RDS MySQL数据库时,使用数据库CA证书可以对数据库真伪进行校验。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
单击左侧导航栏数据安全性,在SSL页签下,单击下载CA证书。
下载的文件为压缩包,包含如下三种CA文件:
PEM文件:适用于绝大部分场景。
JKS文件:PEM格式CA证书通常需要导入到truststore,即转换为JKS文件才能在Java中使用。您可以在Java程序中使用此JKS文件,密码为apsaradb。
p7b文件:适用于少数要求PKCS #7证书文件的Windows应用。
开启SSL加密后,客户端和RDS MySQL之间的连接是否加密与客户端的类型和设置有关。例如,客户端可能默认采用加密连接。您可以修改客户端的设置或代码,要求建立加密连接以及验证RDS MySQL的身份。
如果开启了强制SSL加密,客户端和RDS MySQL之间的连接只能使用SSL加密连接。
对于MySQL 5.7.11及以后版本的客户端,在连接命令中添加--ssl-mode选项可以设置SSL加密。
对于MariaDB客户端以及MySQL 5.7.11之前的客户端,请使用--ssl和--ssl-verify-server-cert等选项。具体请参见MariaDB和MySQL官方文档。
--ssl-mode=DISABLED表示连接不加密。
--ssl-mode=PREFERRED或者不添加--ssl-mode选项,表示尝试加密连接,如果无法加密则采用非加密连接。
--ssl-mode=REQUIRED,表示必须加密连接,如果无法加密则连接失败。
--ssl-mode=VERIFY_CA,表示必须加密连接,并用本地的CA证书验证服务器证书是否有效。
--ssl-mode=VERIFY_IDENTITY,表示必须加密连接,并用本地的CA证书验证服务器证书是否有效,并验证服务器证书的主机名或IP地址是否与实际连接的主机名或IP地址匹配。
示例一:尝试加密连接,如果无法加密则采用非加密连接。
mysql -h {RDS连接地址} -u {RDS账号} -p --ssl-mode=PREFERRED
示例二:要求加密连接,并验证服务器证书的有效性。
mysql -h {RDS连接地址} -u {RDS账号} -p --ssl-mode=VERIFY_CA --ssl-ca={CA证书路径}/ApsaraDB-CA-Chain.pem
上述示例里的{RDS连接地址}、{RDS账号}和{CA证书路径}需替换为实际的值。
更多关于--ssl-mode选项的说明,请参见MySQL官方文档。
打开MySQL Workbench,选择Database > Manage Connections。
填写RDS连接地址和账号密码。
在SSL页签下,设置Use SSL参数,指定SSL CA File为下载的PEM格式CA证书,然后单击Test Connection或者OK。
关于Use SSL参数的选项,可以参考命令行连接方式的--ssl-mode说明。
在DMS中录入RDS MySQL实例时,可设置开启SSL参数。具体操作,请参见云数据库录入。
也可以在已录入的实例上右键,选择编辑实例,然后在高级信息中设置。
Connector/J(mysql-connector-java)是MySQL官方提供的JDBC驱动程序。本示例使用mysql-connector-java 8.0.19版本作为依赖。
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.19</version>
</dependency>
以下示例代码使用sslMode属性指定SSL模式。mysql-connector-java从8.0.13版本开始支持该属性,如果您使用更早的版本,则需要改为使用useSSL、requireSSL和verifyServerCertificate属性,具体请参见MySQL文档。
示例代码:
package com.aliyun.sample;
import com.mysql.cj.jdbc.MysqlDataSource;
import java.sql.Connection;
import java.sql.SQLException;
public class Sample {
public static void main(String[] args) {
Connection conn = null;
MysqlDataSource mysqlDS=null;
try{
mysqlDS = new MysqlDataSource();
//可按需设置SslMode。关于该属性的选项,请参见命令行连接方式的说明。
mysqlDS.setSslMode("VERIFY_IDENTITY");
//truststore用于存储CA证书,这里设置truststore类型为JKS。
mysqlDS.setTrustCertificateKeyStoreType("JKS");
// 请将file:/后面的路径改为您的ApsaraDB-CA-Chain.jks文件的路径。
mysqlDS.setTrustCertificateKeyStoreUrl("file:/D:\\ApsaraDB-CA-Chain\\ApsaraDB-CA-Chain.jks");
// 下载的JKS文件的密码为apsaradb,不能修改。
mysqlDS.setTrustCertificateKeyStorePassword("apsaradb");
// 您的数据库连接串
mysqlDS.setServerName("rm-xxxxxx.mysql.rds.aliyuncs.com");
// 您的数据库端口
mysqlDS.setPort(3306);
// 您的数据库账号
mysqlDS.setUser("xxxxxx");
// 您的数据库密码
mysqlDS.setPassword("xxxxxx");
// 您的数据库名
mysqlDS.setDatabaseName("xxxxxx");
conn = mysqlDS.getConnection();
}catch(Exception e){
e.printStackTrace();
} finally {
try {
if (conn != null)
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
# 安装pymysql pip install pymysql
import pymysql
try:
ssl_config = {"ca":"/path/to/path/ca.crt", "mode":"VERIFY_CA"} # ca为证书的路径,mode为ssl-mode
conn = pymysql.connect(host='******.mysql.rds.aliyuncs.com', user='*****', passwd='******', db='*****', ssl=ssl_config)
cursor = conn.cursor()
cursor.execute('select version()')
data = cursor.fetchone()
print('Database version:', data[0])
cursor.close()
except pymysql.Error as e:
print(e)
RDS MySQL服务器云端证书有效期为1年,证书到期后不更新,会导致使用加密连接的客户端程序无法正常连接实例。即将到期时,阿里云将会通过邮件、站内信(事件中心)的方式进行提醒,RDS MySQL云端证书会在特定时间段自动更新。您可以通过配置计划时间配置自定义证书更新时间。更多信息,请参见计划内事件。您也可以通过以下方式手动更新服务器证书的有效期。
云端证书自动更新后,使用加密连接的客户端程序无需重新下载和配置CA证书即可正常连接数据库。
若您需要更新自定义证书,请参见更新自定义证书。
MySQL 8.0版本更新证书不会重启实例,MySQL 5.6、5.7版本更新证书会重启实例。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
选择SSL页签,单击更新有效期。
查看当前会话使用的密码套件。如果返回的Value不为空,表示当前连接是加密的。
SHOW STATUS LIKE 'Ssl_cipher';
查看当前会话使用的SSL/TLS版本。
SHOW STATUS LIKE 'Ssl_version';
如果是MySQL命令行,还可以执行\s
来查看当前连接是否加密。如果当前为加密连接,返回的SSL值为当前使用的密码套件。
设置服务端只允许加密连接
目前不支持。
设置客户端只允许加密连接
以命令行为例,在连接命令中设置SSL模式为REQUIRED、VERIFY_CA或VERIFY_IDENTITY,表示只允许加密连接,如果无法加密,则连接失败。
设置特定用户只允许加密连接
例如,以下命令用于设置testuser账号只允许加密连接。
ALTER USER 'testuser'@'%' REQUIRE SSL;
执行以下命令可以查看CA证书的内容。
openssl x509 -in {CA证书路径}/ApsaraDB-CA-Chain.pem -text
关闭SSL加密会重启RDS实例,系统会触发主备切换降低影响,但仍建议您在业务低峰期操作。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
选择SSL标签页。
单击已开通前面的开关,在弹出的提示框中单击确定。
Q1:如何实现双向验证?即除了验证服务端身份,也验证客户端身份。
A:RDS MySQL目前不支持在SSL握手时验证客户端身份。您可以通过白名单设置、账号管理来实现访问控制。
Q2:如何加密读写分离地址?
A:请参见设置代理SSL加密。
Q3:如何关闭已开启的SSL。
A:请参见关闭SSL加密。
Java程序连接报错Javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
jdk7和jdk8若不修改jdk安全配置,可能会报此错误,其他类似报错,一般也都由Java安全配置导致。
需要修改默认的jdk安全配置,在应用程序所在主机的jre/lib/security/Java.security
文件中,修改如下两项配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
Java程序连接报错javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
Connector/J 8.0.18或更早版本连接到MySQL 5.6或5.7时,因为兼容性原因禁用了TLS 1.2和更高版本。您可以通过以下任一方式解决该问题。
使用Connector/J 8.0.19或更高的版本。
升级至RDS MySQL 8.0版本。
在代码中指定TLS版本,例如指定enabledTLSProtocols或tlsVersions属性值为TLSv1.2。