开启SSL链路加密功能的入门配置

背景信息

SSL（Secure Sockets Layer）指安全套接字协议，是为了安全通信、数据安全性专门设计的安全协议，SSL 3.0之后更名为TLS（Transport Layer Security）。本文以配置云端证书为例，指导您快速配置SSL链路加密。

说明 RDS PostgreSQL支持的TLS版本为1.0、1.1和1.2。

RDS PostgreSQL实例支持的SSL链路加密配置及功能对比如下：


对比项	配置云端证书	配置自定义证书	配置客户端CA证书
获取方式	由阿里云颁发	由证书认证机构发或自签名证书颁发	由自签名证书颁发
证书有效期	365天	由您自定义	由您自定义
保护的连接地址数	1个	1个或多个	不影响保护的连接地址数，取决于配合使用的云端证书或自定义证书
证书作用	开启SSL链路加密，客户端验证服务端真伪	开启SSL链路加密，客户端验证服务端真伪	服务端验证客户端真伪

说明

实例为RDS PostgreSQL 10或以上的云盘版本。
已下载pgAdmin 4客户端。
实例不是新通用型规格。

说明新通用型规格，提供更好的弹性能力以及更高的实例性能，提升了实例的创建、变配速度。但当前适配尚不完善，暂不支持配置SSL加密。新通用型规格的更多信息，请参见RDS PostgreSQL主实例（新通用型）。

访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
进入数据安全性>SSL页面。

说明如果您在控制台中未看到SSL页面，请检查您的RDS PostgreSQL实例版本及存储类型，具体详见前提条件。
切换证书来源为使用云端证书，单击配置数据库证书（防止伪装数据库）后的配置按钮，选择需要保护的连接地址。
说明
- 如果您未开启外网地址，请选择需要保护的连接串对话框中将会显示RDS PostgreSQL实例的内网连接地址。如果您开启了外网地址，将会同时显示内网和外网两个连接地址。但云端证书只能对一个连接地址进行保护，内网连接相对安全，推荐您对外网连接地址进行保护。查看内网和外网地址请参见查看内外网地址。
- 如果您需要同时对内网和外网连接地址进行保护，请参见配置自定义证书。
- 配置云端证书后，实例的运行状态将会变更为修改SSL中，该状态将持续三分钟左右，请耐心等待运行状态变更为运行中后再进行后续操作。

开启云端证书后，RDS PostgreSQL数据库提供数据库CA证书供您下载，当您通过客户端远程连接RDS PostgreSQL数据库时，使用数据库CA证书可以对数据库真伪进行校验。

切换证书来源为使用云端证书，单击下载CA证书。
解压下载的CA证书。
下载的文件为压缩包，包含如下三个文件：
- p7b文件：用于Windows系统中导入CA证书。
- PEM文件：用于其他系统或应用中导入CA证书。
- JKS文件：Java中的truststore证书存储文件，密码统一为apsaradb，用于Java程序中导入CA证书链。

本连接示例中以pgAdmin客户端通过SSL连接RDS PostgreSQL数据库为例。

RDS PostgreSQL数据库还支持以下方式SSL远程连接：

说明连接数据库前，请确保已在RDS PostgreSQL实例中配置白名单和用户。具体操作，请参见设置白名单和创建数据库和账号。

选择Connection标签页，输入要连接的实例信息。


参数	说明
Hostname/address	主机名称/地址。若通过内网连接，需输入RDS实例的内网连接地址；若使用外网连接，需输入RDS实例的外网连接地址。查看RDS实例的内外网地址及端口请参见查看或修改内外网地址和端口。
Port	连接地址对应的端口。
Username	RDS实例的账号名称。创建RDS实例的账号请参见创建数据库和账号。
Password	账号对应的密码。

选择SSL标签页，配置SSL认证方式和证书。 SSLconfigure


参数	说明
SSL mode	为了使用SSL安全连接，请配置Require、Verify-CA或Verify-Full连接方式，参数含义如下： Require：只对数据链路加密，并不验证数据库服务器的真实性。 Verify-CA：加密数据链路，同时验证数据库的真实性。 Verify-Full：加密数据链路，验证数据库的真实性，同时比对证书内的CN或DNS与连接时配置的Host name/address的一致性。
Root certificate	当SSL mode取值为Verify-CA或Verify-Full时，需要配置此参数，表示数据库CA证书路径。说明本示例中，从SSL页面下载的CA证书解压路径为D:\CA\aliyunCA\，您可以将证书解压到您本地的任意位置。 pgAdmin客户端中使用的数据库CA证书为PEM文件。