开启TLS加密
云原生内存数据库Tair支持TLS(Transport Layer Security)加密协议,TLS协议具有比SSL(Secure Sockets Layer)协议更好的加密技术和更高级别的安全性,可进一步保障数据通信安全。
背景信息
TLS协议是SSL协议的升级版,当前已成为互联网加密通信的标准协议,在现代网络中被广泛使用。以下是TLS相对SSL的一些优势:
加密强度:TLS协议使用更强大的加密技术,例如AES(Advanced Encryption Standard)算法。
安全性:TLS协议采用更安全的算法和协议,例如SHA-2(Secure Hash Algorithm 2)算法。
兼容性:TLS协议是更现代化的协议,更加兼容现代浏览器和服务器,且支持更广泛的加密协议和密码套件。
安全更新:TLS协议支持实时升级加密算法和协议。
因此,若您希望在传输层对网络连接进行加密,推荐您使用更安全、更新的TLS加密功能。
前提条件
实例版本为内存型或持久内存型。
实例类型为高可用(双副本)。
注意事项
实例需释放公网连接地址、直连地址(仅集群模式),才能开启TLS加密功能。
说明云原生(原云盘)集群架构直连模式实例不支持开启TLS加密功能。
实例开启TLS加密功能后,不支持申请公网连接地址、直连地址(仅集群模式),客户端只能通过专有网络、TLS加密方式连接实例。
关于客户端如何连接已开启TLS加密的Tair实例,请参见客户端程序TLS(SSL)加密连接Tair。
操作步骤
- 访问Tair实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击TLS(SSL)设置。
单击一键开通。
在弹出的对话框中,选择TLS版本。
参数说明:
TLSv1.3(推荐):RFC8446,2018年发布,相比较TLSv1.2,TLSv1.3具有更快、更安全的特性。
TLSv1.2(推荐):RFC5246,2008年发布,具有强大的加密技术,能提供更好的安全保护。
TLSv1.1:RFC4346,2006年发布,修复TLSv1.0若干漏洞。
TLSv1.0:RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE)。
单击确定。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
此时,您可以通过刷新控制台页面,更新TLS的开通状态。
开通TLS后,您可以单击页面中的下载CA证书,将CA证书导入至客户端中。下载的文件为压缩包,包含如下三个文件:
ApsaraDB-CA-Chain.p7b:用于Windows系统中导入CA证书。
ApsaraDB-CA-Chain.pem:用于其他系统(如Linux)或应用中导入CA证书。
管理TLS加密设置
以下操作需要在实例已开通TLS加密后进行。
- 访问Tair实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击TLS(SSL)设置。
根据要执行的操作,选择下述操作步骤。
要执行的操作
操作说明
更新CA证书
单击页面中的更新证书,然后单击确定。
开通TLS加密时,证书的默认有效期为1年,且不支持自定义有效期。您可以随时单击更新证书并重新下载配置CA证书,更新后,证书将重新获取1年有效期。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
修改TLS版本
单击TLS版本右侧的设置,然后在下拉列表中选择要更换的TLS版本并单击保存。推荐使用TLSv1.2版本。
说明如果TLS 最低版本下拉列表处于不可用状态,请升级实例的小版本后重试,具体操作请参见升级小版本。
关闭TLS加密
关闭TLS状态右侧的开关。
警告本操作将触发重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。
更新证书或修改TLS版本后,无需重新下载证书,可继续使用。
相关API
API | 说明 |
设置Tair实例的TLS(SSL)加密功能。 |
