设置SSL加密

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为提高链路的安全性,您可以开通SSL(Secure Sockets Layer)加密,然后安装SSL CA证书到您的应用服务。SSL加密功能在传输层对网络连接进行加密,在提升通信数据安全性的同时,保证数据的完整性。本文介绍SSL加密功能的相关操作。

前提条件

实例类型为副本集实例或云盘版分片集群实例。

注意事项

  • SSL CA证书仅支持通过云数据库MongoDB控制台下载。

  • 开通SSL加密会增加云数据库MongoDB实例的CPU使用率,建议您在有加密需求(例如通过公网连接MongoDB实例)时开通SSL加密。

    说明

    内网链路相对较安全,一般无需对链路加密。

  • 实例开通SSL加密后,如果修改了实例的连接地址或申请了新的连接地址(包括新的节点连接地址和公网地址),新地址将无法使用SSL加密链接。如果想要新地址也使用SSL加密连接,您需要更新服务器证书

  • 开通SSL后支持SSL和非SSL两种连接方式。

影响

在开通或关闭SSL加密、更新SSL证书操作时,实例会进行一次重启,建议您提前做好业务安排并确保应用有重连机制。

说明

重启实例会对实例的节点执行轮转重启,每个节点会有30秒左右的闪断,如果集合的数量较多(超过1万),闪断时间也会随之变长。

开启SSL加密

警告

开通SSL加密过程中,云数据库MongoDB会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。

  1. 访问MongoDB副本集实例列表MongoDB分片集群实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在目标实例页面的左侧导航栏,单击数据安全性 > SSL

  3. 打开SSL状态右侧的开关。

  4. 在弹出的开通SSL对话框中,单击确定

实例运行状态变更为SSL修改中,当SSL状态变更为已开通(实例运行状态为运行中)时,说明已开通SSL加密。

下载SSL CA证书

  1. 访问MongoDB副本集实例列表MongoDB分片集群实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在目标实例页面的左侧导航栏,单击数据安全性 > SSL

  3. 单击下载证书,将SSL CA证书下载至本地。

说明

下载的SSL CA证书可以用于加密连接数据库场景,具体请参见使用Mongo Shell通过SSL加密连接数据库

更多操作

更新服务器证书

MongoDB服务器证书有效期为1年,证书到期后不更新,会导致使用加密连接的客户端程序无法正常连接实例。即将到期时,阿里云将会通过短信、邮件、站内信(事件中心)的方式进行提醒,并会在特定时间段自动更新该证书。您可以通过配置计划时间配置自定义证书更新时间。更多信息,请参见计划内事件。您也可以以下方式手动更新服务器证书的有效期。

警告

服务器证书自动更新后,使用加密连接的客户端程序无需重新下载和配置CA证书即可正常连接数据库。更新SSL证书的过程中,云数据库 MongoDB 版会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,您可以通过计划时间配置自定义证书更新时间,建议您提前做好业务安排并确保应用有重连机制。

  1. 访问MongoDB副本集实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在目标实例页面的左侧导航栏,单击数据安全性 > SSL

  3. 单击更新证书

  4. 更新SSL对话框中,单击确定

实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明服务器证书已成功更新。

关闭SSL加密

警告

关闭SSL加密过程中,云数据库 MongoDB 版会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。

  1. 访问MongoDB副本集实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在目标实例页面的左侧导航栏,单击数据安全性 > SSL

  3. 关闭SSL状态右侧的开关。

  4. 在弹出的关闭SSL对话框中,单击确定

实例运行状态变更为SSL修改中,当实例运行状态变更为运行中时,说明已关闭SSL加密。

相关API

接口

说明

DescribeDBInstanceSSL

查询云数据库MongoDB实例的SSL设置详情。

ModifyDBInstanceSSL

修改云数据库MongoDB实例的SSL配置。