SSL 链路加密
本页面为您介绍 SSL 链路加密的操作步骤。
背景信息
云数据库 OceanBase 支持 SSL 链路加密,保证客户端和服务器之间数据的安全传输。
SSL(Secure Socket Layer):安全套接层,SSL 通过互相认证,使用数字签名确保完整性,使用加密确保私密性,实现客户端和服务器之间的安全通讯。
SSL 链接加密开启后暂不支持关闭,实例性能将有轻微下降(证书加解密需要消耗一定的计算资源),建议仅在有外网连接或者有传输加密需求的时候开启实例 SSL 链路加密。
OceanBase 数据库 V2.2.76 及以上版本支持 SSL 加密功能。
标准版(Key-Value)集群暂不支持SSL 加密功能。
操作步骤
在左侧导航栏单击 实例列表,选择目标集群实例,进入 集群实例工作台 页面。
在左侧导航栏单击 安全设置。
单击 SSL 链路加密 页签,您可进行如下操作。
单击开关,开启 SSL 链路加密,开启过程大概需要 3~5 分钟。SSL 链路加密成功开启后,有些版本可选择是否开启 强制 SSL 连接。如果页面不显示强制 SSL 链接,说明当前版本不支持强制开启。
说明开启强制 SSL 连接,会屏蔽非 SSL 连接,历史创建的非 SSL 连接将失效,请注意切换连接方式。
单击 下载 CA 证书,下载证书。
下载的文件为压缩包,包含如下三个文件:
p7b 文件:用于 Windows 系统中导入 CA 证书。
PEM 文件:用于其他系统或应用中导入 CA 证书。
JKS 文件:Java 中的 truststore 证书存储文件,密码统一为 OceanBase,用于 Java 程序中导入 CA 证书链。
说明在 Java 中使用 JKS 证书文件时,jdk7 和 jdk8 需要修改默认的 jdk 安全配置,在应用程序所在主机的
jre/lib/security/java.security文件中,修改如下两项配置:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024若不修改 jdk 安全配置,会报如下错误。其它类似报错,一般也都由 Java 安全配置导致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints单击 更新有效期,刷新 SSL 证书有效期。
