本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
为了提高访问宽表引擎的链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装CA证书到所需要的应用服务中。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会增加网络连接响应时间。
开启和关闭SSL加密会重启实例,在重启过程中实例会出现秒级的连接闪断,建议您在业务低峰期执行该操作并确保应用具备重连机制。
前提条件
已创建云原生多模数据库 Lindorm实例并开通宽表引擎,具体操作,请参见创建实例。
已安装Java环境,要求安装JDK 1.8及以上版本。
背景信息
SSL是Netscape公司提出的安全保密协议,在浏览器和Web服务器之间构造安全通道来进行数据传输,采用RC4、MD5、RSA等加密算法实现安全通讯。国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,标准化后更名为安全传输层协议(TLS)。由于SSL术语更为常用,因此本文所述SSL加密实际指TLS加密。
注意事项
CA证书的默认有效期为10年。
关闭SSL加密后,仅支持通过非SSL方式连接。
关闭SSL加密后,原始CA证书会失效,重新开启SSL加密,您需重新下载配置CA证书,否则无法通过SSL连接。
开启和关闭SSL加密会重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
操作步骤
登录Lindorm管理控制台。
在页面左上角,选择实例所属的地域。
在实例列表页,单击目标实例ID或者目标实例所在行操作列的管理。
在左侧导航栏,单击宽表引擎。
选择数据安全页签,单击数据链路SSL。
开启SSL加密。
打开当前状态开关。
在弹出的开启SSL加密对话框中,单击确定。
单击页面左下角下载CA证书。
可选:关闭SSL加密。
关闭当前状态开关。
在弹出的关闭SSL加密对话框中,单击确定。
导入CA证书(以Java为例)
您需要将CA证书导入到Java可信任证书库中,应用才能通过SSL加密方式访问Lindorm实例。
打开JDK的安装目录,进入jre/bin目录。
执行以下命令将下载的CA证书导入到Java可信任证书库中,导入过程中需要输入密码(默认密码是changeit)。
keytool -import -alias server -keystore cacerts -file /path-to-crt/server.crt参数说明:
/path-to-crt/server.crt为CA证书下载后的保存路径。语句示例:
keytool -import -alias server -keystore cacerts -file /root/CA/ld-bp12pc23yfb38****.crt证书导入成功后,您可以访问Lindorm实例,具体操作,请参见基于HBase非Java API的应用开发。