SSL证书加密套件最佳配置

 以nginx为例： ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers  HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM; 

开启SSL加密

1.登录 RDS 管理控制台。
2.在页面左上角，选择实例所在地域。

3.找到目标实例，单击实例ID。
4.在左侧菜单栏中单击数据安全性。
5.选择SSL标签页。
6.单击未开通前面的开关，如下图所示。

7.在设置 SSL对话框中选择要开通SSL加密的链路，单击确定，开通 SSL 加密。 说明 用户可以根据需要，选择加密内网链路或者外网链路，但只可以加密一条链路。

8.单击下载证书，下载SSL CA证书，如下图所示。

下载的文件为压缩包，包含如下三个文件：

1.p7b文件：用于Windows系统中导入CA证书。

2.PEM文件：用于其他系统或应用中导入CA证书。

3.JKS文件：java中的truststore证书存储文件，密码统一为apsaradb，用于java程序中导入CA证书链。

说明 在java中使用JKS证书文件时，jdk7和jdk8需要修改默认的jdk安全配置，在需要SSL访问的数据库所在机器的jre/lib/security/java.security文件中，修改如下两项配置：

jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

若不修改jdk安全配置，会报如下错误。其它类似报错，一般也都由java安全配置导致

javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints