RDS PostgreSQL在配置SSL链路加密时,不仅支持使用阿里云提供的云端证书,还支持使用自定义证书。本文介绍通过自定义证书配置SSL链路加密功能的具体操作。
前提条件
- 实例版本为RDS PostgreSQL 10或以上的云盘版本。
- 已安装OpenSSL工具。
说明 如果您使用Linux系统,系统会自带OpenSSL工具,无需安装。如果您使用Windows系统,请获取OpenSSL软件包并安装。
注意事项
- 开启SSL链路加密后,会造成CPU使用率上升、读写时延增长。
- 开启SSL链路加密后,已有连接需要断开重连,加密才会生效。
- 配置自定义证书、更改自定义证书内容或关闭SSL链路加密,将会重启您的数据库实例,用时约3分钟左右,请在业务低峰期操作。
步骤一:获取自定义证书
注意 生成服务器证书私钥或自签名证书私钥时,请勿使用密码加密,否则将无法启用SSL链路加密。
本文以CentOS系统配置为例,如果您使用Windows操作系统,操作步骤中的openssl
命令与CentOS系统中的openssl
命令配置相同,cp
命令请替换为拷贝,vim
命令请替换为编辑文件。
完成以上配置后,执行ls命令,查看已生成的文件:
# ls
ca.crt ca.key ca.srl server.crt server.csr server.key
关键文件解释如下:
- server.crt:服务器证书文件。
- server.key:服务器私钥文件。
- ca.crt:自签名证书。
- ca.key:自签名证书私钥。
步骤二:使用自定义证书开启SSL链路加密
说明 配置自定义证书后,实例的运行状态将会变更为修改SSL中,该状态将持续三分钟左右,请耐心等待运行状态变更为运行中后再进行后续操作。
步骤三:客户端连接数据库
RDS PostgreSQL数据库支持以下方式通过SSL远程连接:
步骤四:(可选)更新证书
说明 更新证书会重启实例,请谨慎操作。
如果您需要更新证书,可以在SSL页面单击配置数据库证书(防止伪装数据库)后的修改按钮,填入新的服务器证书和私钥。

步骤五:(可选)关闭SSL链路加密
说明 关闭SSL加密会重启实例,请谨慎操作。
如果您需要关闭SSL链路加密,可以在SSL页面单击关闭SSL按钮。
