为提高链路的安全性,您可以启用SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。
前提条件
- Redis实例为本地盘实例。
- Redis实例为4.0或5.0版本(集群架构)。
注意事项
- SSL的证书有效期为1年,请及时更新证书有效期并重新下载配置CA证书,否则使用加密连接的客户端程序将无法正常连接。
- 由于开通SSL加密会增加Redis服务的网络响应时间,建议仅在有加密需求时才开通SSL加密(例如通过公网连接Redis实例)。
- 开通SSL后同时支持SSL和非SSL两种连接方式。
操作步骤
- 访问Redis实例列表,在上方选择地域,然后单击目标实例ID。
- 在左侧导航栏,单击SSL设置。
- 根据要执行的操作,选择下述操作步骤。
图 1. 设置SSL加密 要执行的操作 操作说明 开通或关闭SSL加密 打开或关闭SSL证书信息右侧的开关。 修改TLS最低版本 单击TLS 最低版本右侧的设置,然后在下拉列表中选择要更换的TLS版本(默认为TLSv1)并单击保存。 说明 如果TLS 最低版本下拉列表处于不可用状态,请将实例的小版本升级至最新后重试,具体操作请参见升级小版本。更新CA证书 单击页面右上角的更新证书,然后单击确定。 证书有效期为1年,您可以随时点击更新证书并重新下载配置CA证书,更新后,证书将重新获取1年有效期。
下载CA证书 单击页面右上角的下载CA证书。 警告 执行开通SSL加密和更新证书有效期的操作将触发重启实例动作。实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
常见问题
- Q:出现“版本不支持”的错误提示怎么办?
A:您需要将实例的小版本升级至最新,具体操作请参见升级小版本。
- Q:下载的CA证书有哪些文件?A:下载的文件为压缩包,包含如下三个文件:
- ApsaraDB-CA-Chain.p7b:用于Windows系统中导入CA证书。
- ApsaraDB-CA-Chain.pem:用于其他系统(如Linux)或应用中导入CA证书。
- ApsaraDB-CA-Chain.jks:Java中的truststore证书存储文件,用于Java程序中导入CA证书链。
SSL连接方法参考
相关API
API | 说明 |
---|---|
ModifyInstanceSSL | 设置Redis实例的SSL加密功能。 |