设置SSL加密_数据安全/加密_用户指南_PolarDB MySQL 云原生数据库

为了提高链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，但会同时增加网络连接响应时间。

注意事项

登录PolarDB控制台。
在控制台左上角，选择集群所在地域。
找到目标集群，单击集群ID。
在左侧菜单栏中单击配置与管理 > 安全管理。
在SSL配置页签，单击SSL状态右侧滑块，开启SSL加密。
说明
- PolarDB MySQL5.6和PolarDB MySQL5.7集群仅支持为主地址配置SSL。
- PolarDB MySQL8.0集群支持为主地址、集群地址和自定义地址配置SSL。
在设置SSL对话框中，选择需要开通SSL加密的链路，单击确定。

说明您可以根据需要，选择加密内网链路或者外网链路，但只可以加密一条链路。
SSL状态变为已开通后，单击下载证书。
下载的文件为压缩包，包含如下三个文件：
- p7b文件：用于Windows系统中导入CA证书。
- pem文件：用于其他系统或应用中导入CA证书。
- jks文件：Java中的truststore证书存储文件，密码统一为apsaradb，用于Java程序中导入CA证书链。
  说明在Java中使用JKS证书文件时，jdk7和jdk8需要修改默认的jdk安全配置，在连接PolarDB数据库的服务器的jre/lib/security/java.security文件中，修改如下两项配置：
  jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
  若不修改jdk安全配置，会报如下错误。其它类似报错，一般也都由Java安全配置导致。
  javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

开通SSL加密后，应用或者客户端连接PolarDB时需要配置SSL CA证书。本文以MySQL Workbench和Navicat为例，介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。

MySQL Workbench配置方法

Navicat配置方法

打开Navicat。
在目标数据库上单击鼠标右键，选择编辑连接。
选择SSL页签，选择.pem格式CA证书的路径。参照下图进行设置。
单击确定。

说明如果报Connection with same connection name already exists in the project.错误，是由于之前的会话未断开，请关闭Navicat重新打开。
双击目标数据库测试能否正常连接。

如果您修改了SSL连接地址或证书有效期即将到期，您需要更新证书有效期，以下内容将为您介绍如何更新证书有效期。

说明

Q：SSL证书到期后不更新会有什么影响？会影响实例运行或数据安全吗？

A：SSL证书到期后不更新，会导致使用加密连接的客户端程序无法正常连接实例，不会影响实例运行或数据安全。

API	描述
DescribeDBClusterSSL	调用DescribeDBClusterSSL接口查询PolarDB集群SSL设置。
ModifyDBClusterSSL	调用ModifyDBClusterSSL接口设置PolarDB集群SSL加密的开通、关闭或更新CA证书。