为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。

前提条件

实例版本如下:

  • SQL Server所有版本
  • MySQL 5.6金融版、MySQL 5.6高可用版、MySQL 5.7高可用版(本地SSD盘)、MySQL 8.0高可用版(本地SSD盘)

注意事项

  • SSL的证书有效期为1年,请在1年内更新证书有效期,否则使用加密连接的客户端程序将无法正常连接。
  • 由于SSL加密的固有缺陷,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。
  • 开启SSL加密后,将无法再关闭,请谨慎操作。
  • 读写分离地址不支持SSL加密。

开启SSL加密

  1. 登录 RDS 管理控制台
  2. 在页面左上角,选择实例所在地域。
    地域截图
  3. 找到目标实例,单击实例ID。
  4. 在左侧菜单栏中单击数据安全性
  5. 选择SSL标签页。
  6. 单击未开通前面的开关,如下图所示。


  7. 设置 SSL对话框中选择要开通SSL加密的链路,单击确定,开通 SSL 加密。
    说明 用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。


  8. 单击下载证书,下载SSL CA证书,如下图所示。


    下载的文件为压缩包,包含如下三个文件:

    • p7b文件:用于Windows系统中导入CA证书。

    • PEM文件:用于其他系统或应用中导入CA证书。

    • JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。

      说明 在java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在需要SSL访问的数据库所在机器的jre/lib