设置SSL加密

背景信息

注意事项

• SSL的证书有效期为1年，请在1年内更新证书有效期，否则使用加密连接的客户端程序将无法正常连接。
• 由于SSL加密的固有缺陷，启用SSL加密会显著增加CPU使用率，建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全，一般无需对链路加密。
• 读写分离地址不支持SSL加密。

开启SSL加密

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
2. 在左侧菜单栏中单击数据安全性。
3. 在SSL标签页，单击未开通前面的开关。
4. 在设置SSL对话框中选择要开通SSL加密的链路，单击确定，开通SSL加密。
   说明 用户可根据需要，选择加密内网链路或者外网链路，但仅允许加密一条链路。
5. 在SSL页签下，单击下载CA证书，下载SSL CA证书。
   下载的文件为压缩包，包含如下三个文件：

   • p7b文件：用于Windows系统中导入CA证书。
   • PEM文件：用于其他系统或应用中导入CA证书。
   • JKS文件：Java中的truststore证书存储文件，密码统一为apsaradb，用于Java程序中导入CA证书链。

   重要 在Java中使用JKS证书文件时，jdk7和jdk8需要修改默认的jdk安全配置，在需要SSL访问的数据库所在机器的 jre/lib/security/java.security文件中，修改如下两项配置：

   jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
   jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

   若不修改jdk安全配置，会报如下错误。其它类似报错，一般也都由Java安全配置导致。

   javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

配置SSL CA证书

开通SSL加密后，应用端或者客户端连接RDS时需要配置SSL CA证书。本文以SQL Server Management Studio为例，介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。

1. 单击桌面左下角搜索框，输入certmgr.msc并打开。
2. 在certmgr对话框中，鼠标右击受信任的根证书颁发机构。
3. 选择所有任务 > 导入。
4. 单击下一页。
5. 在证书导入向导页面中，单击浏览导入已下载的SSL CA证书，并单击下一页。
   说明 下载SSL CA证书请参见 开启SSL加密。
   
6. 按个人需要选择证书存放位置后，单击下一页。
7. 单击完成，提示证书导入成功后，单击OK即可。
8. 打开SQL Server Management Studio，单击对话框右下角Options按钮。
9. 在Connection Properties选项卡中，勾选Encrypt connection和Trust server certificate，并单击Connect按钮。
10. 执行如下查询，若查询结果为TRUE，则说明连接已加密。

    SELECT ENCRYPT_OPTION FROM SYS.DM_EXEC_CONNECTIONS WHERE SESSION_ID = @@SPID

更新证书有效期

关闭SSL加密

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
2. 在左侧导航栏单击数据安全性。
3. 选择SSL标签页。
4. 单击已开通前面的开关，在弹出的提示框中单击确定。

常见问题

Q：SSL证书到期后不更新会有什么影响？会影响实例运行或数据安全吗？

A：SSL证书到期后不更新，仅会导致使用加密连接的客户端程序无法正常连接实例，不会影响实例运行或数据安全。