设置SSL加密

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为提高链路的安全性,您可以启用SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。

前提条件

  • 实例部署模式为经典版。

  • 实例版本为4.0或5.0。

  • 实例架构类型为集群架构。

注意事项

  • 2023年4月07日云数据库 Tair(兼容 Redis)将SSL加密功能升级为TLS加密功能,同时不再支持开通SSL加密功能。若您已开通SSL加密功能,您可以继续使用也可以关闭SSL,但关闭后无法再次开启,更多信息请参见【通知】SSL功能升级至TLS功能

  • SSL的证书有效期为3年,请及时更新证书有效期并重新下载配置CA证书,否则使用加密连接的客户端程序将无法正常连接。

  • 由于开通SSL加密会增加Tair(以及Redis开源版服务的网络响应时间,建议仅在有加密需求时才开通SSL加密(例如通过公网连接实例)。

  • 开通SSL后同时支持SSL和非SSL两种连接方式。

操作步骤

  1. 访问实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击TLS(SSL)设置

  3. 根据要执行的操作,选择下述操作步骤。

    要执行的操作

    操作说明

    开通或关闭SSL加密

    打开或关闭SSL证书信息右侧的开关。

    更新CA证书

    单击页面右上角的更新证书,然后单击确定

    证书有效期为3年,您可以随时点击更新证书并重新下载配置CA证书,更新后,证书将重新获取3年有效期。

    下载CA证书

    单击页面右上角的下载CA证书

    警告

    执行开通SSL加密和更新证书有效期的操作将触发重启实例动作。实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。

常见问题

  • Q:出现“版本不支持”的错误提示怎么办?

    A:您需要将实例的小版本升级至最新,具体操作请参见升级小版本与代理版本

  • Q:下载的CA证书有哪些文件?

    A:下载的文件为压缩包,包含如下三个文件:

    • ApsaraDB-CA-Chain.p7b:用于Windows系统中导入CA证书。

    • ApsaraDB-CA-Chain.pem:用于其他系统(如Linux)或应用中导入CA证书。

    • ApsaraDB-CA-Chain.jks:Java中的truststore证书存储文件,用于Java程序中导入CA证书链。

SSL连接方法参考

相关API

API

说明

ModifyInstanceSSL

设置实例的SSL加密功能。