为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。
背景信息
SSL是Netscape公司所提出的安全保密协议,在浏览器和Web服务器之间构造安全通道来进行数据传输,采用RC4、MD5、RSA等加密算法实现安全通讯。国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,标准化后更名为安全传输层协议(TLS)。由于SSL这一术语更为常用,因此本文所述SSL加密实际是指TLS加密。
注意事项
开启SSL加密和下载证书
配置SSL CA证书
开通SSL加密后,应用或者客户端连接PolarDB时需要配置SSL CA证书。本文以MySQL Workbench和Navicat为例,介绍SSL CA证书的配置方法。其它应用或者客户端请参见对应产品的使用说明。
MySQL Workbench配置方法
Navicat配置方法
更新证书有效期
如果您修改了SSL连接地址或证书有效期即将到期,您需要手动更新证书有效期,以下内容将为您介绍如何更新证书有效期。
说明 更新证书有效期操作将会重启集群,重启前请做好业务安排,谨慎操作。
开启证书自动轮换
开启证书自动轮转后,在证书即将过期的10天内,PolarDB会在集群的可维护时间窗口内自动更新证书。
说明 自动更新证书将会重启集群,请您谨慎选择。
- 在SSL配置页签中,单击高级选项。
- 在高级选项对话框中,选择开启证书自动轮转,并单击确定。
关闭SSL加密
说明
- 关闭SSL加密会重启集群,建议您在业务低峰期操作。
- SSL加密关闭后,数据库访问性能会有一定程度提升,但安全性上有削弱,故非安全环境下不建议关闭SSL加密。
- 登录PolarDB控制台。
- 在控制台左上角,选择集群所在地域。
- 找到目标集群,单击集群ID。
- 在左侧菜单栏中单击 。
- 在SSL配置页签中,单击SSL状态右侧滑块来关闭SSL加密。
- 在弹出的对话框中,单击确定。
相关API
API | 描述 |
---|---|
DescribeDBClusterSSL | 调用DescribeDBClusterSSL接口查询PolarDB集群SSL设置。 |
ModifyDBClusterSSL | 调用ModifyDBClusterSSL接口设置PolarDB集群SSL加密的开通、关闭或更新CA证书。 |