阿里云合作伙伴-授权证书 长期稳定·永久朋友 产品专家1对1服务
阿里云购买咨询热线:158-0160-3153(微信同号)

热门文章

阿里云常见售后问题集锦

阿里云数据库RDS如何设置 SSL 加密

发布:凯铧互联


为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。

注意

由于SSL加密的固有缺陷,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。

开启SSL加密后,将无法再关闭,请谨慎操作。

开启SSL加密

1.登录RDS管理控制台。

2.选择目标实例所在地域。

3.单击目标实例的ID,进入基本信息页面。

4.在左侧菜单栏中选择数据安全性,进入数据安全性页面。

5.选择SSL标签页。

6.单击未开通前面的开关,如下图所示。

开通SSL


7.在设置 SSL对话框中选择要开通SSL加密的链路,单击确定,开通 SSL 加密,如下图所示。

说明:用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。

设置SSL


单击下载证书,下载SSL CA证书,如下图所示。

下载SSL证书


下载的文件为压缩包,包含如下三个文件:

p7b文件:用于Windows系统中导入CA证书。

PEM文件:用于其他系统或应用中导入CA证书。

JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。

注意:在java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在需要SSL访问的数据库所在机器的jre/lib/security/java.security文件中,修改如下两项配置:

jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
若不修改jdk安全配置,会报如下错误。其它类似报错,一般也都由java安全配置导致。

javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

配置SSL CA证书

开通SSL加密后,应用或者客户端连接RDS时需要配置SSL CA证书。本文以MySQL Workbench为例,介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。

打开MySQL Workbench。

选择Database > Manage Connections。

启用Use SSL,并导入SSL CA证书,如下图所示。

导入 SSL CA 证书


为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。

凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。