为提高链路的安全性,您可以启用SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。

前提条件

注意事项

  • SSL的证书有效期为1年,请及时更新证书有效期并重新下载配置CA证书,否则使用加密连接的客户端程序将无法正常连接。
  • 由于开通SSL加密会增加Redis服务的网络响应时间,建议仅在有加密需求时才开通SSL加密(例如通过公网连接Redis实例)。
  • 执行开通SSL加密和更新证书有效期的操作将触发重启实例动作。实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
  • 开通SSL后同时支持SSL和非SSL两种连接方式。

操作步骤

  1. 登录Redis管理控制台
  2. 在顶部菜单栏的左上角,选择实例所属的地域。
  3. 实例列表页,单击目标实例ID。
  4. 在左侧导航栏,单击SSL设置
  5. 根据要执行的操作,选择下述操作步骤。
    图 1. 设置SSL加密
    设置SSL加密
    要执行的操作 操作说明
    开通或关闭SSL加密 打开或关闭SSL证书信息右侧的开关。
    修改TLS最低版本 单击TLS 最低版本右侧的设置,然后在下拉列表中选择要更换的TLS版本(默认为TLSv1)并单击保存
    说明
    • 如果TLS 最低版本下拉列表处于不可用状态,您需要将Redis实例的小版本升级至最新,具体操作,请参见升级小版本
    • Redis实例为2.8版本(标准架构)时,不支持本操作。
    更新CA证书 单击页面右上角的更新证书,然后单击确定

    证书有效期为1年,您可以随时点击更新证书并重新下载配置CA证书,更新后,证书将重新获取1年有效期。

    下载CA证书 单击页面右上角的下载CA证书

常见问题

  • Q:出现“版本不支持”的错误提示怎么办?

    A:您需要将实例的小版本升级至最新,具体操作,请参见升级小版本

  • Q:下载的CA证书有哪些文件?
    A:下载的文件为压缩包,包含如下三个文件:
    • ApsaraDB-CA-Chain.p7b:用于Windows系统中导入CA证书。
    • ApsaraDB-CA-Chain.pem:用于其他系统(如Linux)或应用中导入CA证书。
    • ApsaraDB-CA-Chain.jks:Java中的truststore证书存储文件,用于Java程序中导入CA证书链。

SSL连接方法参考

相关API

API 说明
ModifyInstanceSSL 设置Redis实例的SSL加密功能。