为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。
注意事项
- SSL的证书有效期为1年,请在1年内更新证书有效期,否则使用加密连接的客户端程序将无法正常连接。
- 由于SSL加密的固有缺陷,启用SSL加密会显著增加CPU使用率,因此仅建议您在外网访问且有加密需求的实例上启用SSL加密,内网链路相对较安全,一般无需对链路加密。
开启SSL加密
警告 该操作会重启实例,为避免对您的业务产生影响,建议您在业务低峰期进行操作。
- 登录云原生数据仓库AnalyticDB PostgreSQL版控制台。
- 在控制台左上角,选择实例所在地域。
- 找到目标实例,单击实例ID。
- 单击左侧导航栏中的数据安全性。
- 单击SSL页签。
- 打开SSL证书信息的开关。
- 在开通SSL证书页面,单击确定。
- 待SSL证书信息显示为已开通后,单击下载证书。下载的文件为压缩包,包含如下三个文件:
- .p7b格式文件:用于Windows系统中导入CA证书。
- .pem格式文件:用于其他系统或应用中导入CA证书。
- .jks格式文件:Java中的TrustStore证书存储文件,密码为apsaradb,用于Java程序中导入CA证书链。
在Java中使用JKS证书文件时,JDK7和JDK8需要修改默认的JDK安全配置,在应用程序所在主机的jre/lib/security/Java.security文件中,修改如下两项配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024若不修改JDK安全配置,会报如下错误。其它类似报错,一般也都由Java安全配置导致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
更新有效期
警告 该操作会重启实例,为避免对您的业务产生影响,建议您在业务低峰期进行操作。
- 登录云原生数据仓库AnalyticDB PostgreSQL版控制台。
- 在控制台左上角,选择实例所在地域。
- 找到目标实例,单击实例ID。
- 单击左侧导航栏中的数据安全性。
- 单击SSL页签。
- 单击SSL证书信息右侧更新有效期。
- 在更新SSL证书有效期页面,单击确定。
关闭SSL加密
警告 该操作会重启实例,为避免对您的业务产生影响,建议您在业务低峰期进行操作。
- 登录云原生数据仓库AnalyticDB PostgreSQL版控制台。
- 在控制台左上角,选择实例所在地域。
- 找到目标实例,单击实例ID。
- 单击左侧导航栏中的数据安全性。
- 单击SSL页签。
- 关闭SSL证书信息的开关。
- 在关闭SSL证书页面,单击确定。
相关API
| API | 说明 |
|---|---|
| DescribeDBInstanceSSL | 获取SSL加密的信息。 |
| ModifyDBInstanceSSL | 开启、关闭SSL加密或更新SSL加密有效期。 |