本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
云数据库Redis版支持TLS(Transport Layer Security)加密协议,TLS协议具有比SSL(Secure Sockets Layer)协议更好的加密技术和更高级别的安全性,可进一步保障数据通信安全。
背景信息
TLS协议是SSL协议的升级版,当前已成为互联网加密通信的标准协议,在现代网络中被广泛使用。以下是TLS相对SSL的一些优势:
加密强度:TLS协议使用更强大的加密技术,例如AES(Advanced Encryption Standard)算法。
安全性:TLS协议采用更安全的算法和协议,例如SHA-2(Secure Hash Algorithm 2)算法。
兼容性:TLS协议是更现代化的协议,更加兼容现代浏览器和服务器,且支持更广泛的加密协议和密码套件。
安全更新:TLS协议支持实时升级加密算法和协议。
因此,若您希望在传输层对网络连接进行加密,推荐您使用更安全、更新的TLS加密功能。
前提条件
实例满足如下条件:
实例版本为Tair(Redis企业版)内存型、持久内存型或Redis社区版5.0、6.0、7.0。
实例类型为高可用(双副本)。
注意事项
该功能默认关闭,如需开启,请先释放实例的公网连接地址、直连地址(仅集群模式),才能开启TLS加密功能。
说明云原生(原云盘)集群架构直连模式实例不支持开启TLS加密功能。
开启TLS加密功能后,实例将不支持申请公网连接地址、直连地址(仅集群模式),客户端只能通过专有网络、TLS加密方式连接实例。
关于客户端如何连接已开启TLS加密的Redis实例,请参见客户端程序TLS(SSL)加密连接Redis。
操作步骤
访问Redis实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击TLS(SSL)设置。
单击一键开通。
在弹出的对话框中,选择TLS版本。
参数说明:
TLSv1.3(推荐):RFC8446,2018年发布,相比较TLSv1.2,TLSv1.3具有更快、更安全的特性。
TLSv1.2(推荐):RFC5246,2008年发布,具有强大的加密技术,能提供更好的安全保护。
TLSv1.1:RFC4346,2006年发布,修复TLSv1.0若干漏洞。
TLSv1.0:RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE)。
单击确定。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
此时,您可以通过刷新控制台页面,更新TLS的开通状态。
开通TLS后,您可以单击页面中的下载CA证书,将CA证书导入至客户端中。下载的文件为压缩包,包含如下三个文件:
ApsaraDB-CA-Chain.p7b:用于Windows系统中导入CA证书。
ApsaraDB-CA-Chain.pem:用于其他系统(如Linux)或应用中导入CA证书。
管理TLS加密设置
以下操作需要在实例已开通TLS加密后进行。
访问Redis实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击TLS(SSL)设置。
根据要执行的操作,选择下述操作步骤。
要执行的操作
操作说明
更新CA证书
单击页面中的更新证书,然后单击确定。
开通TLS加密时,证书的默认有效期为1年,且不支持自定义有效期。您可以随时单击更新证书并重新下载配置CA证书,更新后,证书将重新获取1年有效期。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
修改TLS版本
单击TLS版本右侧的设置,然后在下拉列表中选择要更换的TLS版本并单击保存。推荐使用TLSv1.2版本。
说明如果TLS 最低版本下拉列表处于不可用状态,请升级实例的小版本后重试,具体操作请参见升级小版本与代理版本。
关闭TLS加密
关闭TLS状态右侧的开关。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
更新证书或修改TLS版本后,无需重新下载证书,可继续使用。
相关API
API | 说明 |
设置Redis实例的TLS(SSL)加密功能。 |
后续步骤
- 本页导读 (1)