RDS 目前包含SQL Server 2008 R2 在数据安全方面,提供文件层面的TDE (Transparent Data Encryption)数据加密和链路通信层面的SSL(Secure Sockets Layer)加密。这里主要介绍RDS SQL Server 2008 R2开通SSL后,客户端的设置方法。
1. 登录 RDS管理控制台。
2. 选择目标实例所在地域。
3. 单击目标实例的ID,进入 基本信息页面。
4. 在左侧菜单栏中选择 数据安全性,进入 数据安全性页面。
5. 选择 SSL标签页。
6. 单击 未开通前面的开关。
7. 在 设置 SSL对话框中选择要开通SSL加密的链路,单击 确定,开通 SSL 加密。
说明:用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。
8. 单击 下载证书,下载SSL CA证书,如下图所示。
9. 下载的文件为压缩包,包含如下三个文件
注意事项
SSL在传输层对网络连接进行加密,可以提升数据通信的安全性,但同时对性能也会造成一定影响,参考 设置SSL加密。开通SSL
在 设置SSL加密中有详细的开通步骤介绍,为了阅读方便,再次重述一遍开通步骤。1. 登录 RDS管理控制台。
2. 选择目标实例所在地域。
3. 单击目标实例的ID,进入 基本信息页面。
4. 在左侧菜单栏中选择 数据安全性,进入 数据安全性页面。
5. 选择 SSL标签页。
6. 单击 未开通前面的开关。
7. 在 设置 SSL对话框中选择要开通SSL加密的链路,单击 确定,开通 SSL 加密。
说明:用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。
8. 单击 下载证书,下载SSL CA证书,如下图所示。
9. 下载的文件为压缩包,包含如下三个文件
- p7b文件:用于Windows系统中导入CA证书。
- PEM文件:用于其他系统或应用中导入CA证书。
- JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。
客户端设置
开通SSL加密后,首先需要将证书导入本地的受信任的根证书颁发机构,然后再进行连接,本文以SQL Server Management Studio为例。
1. 开始-->运行-->输入"certmgr.msc"
2. 开始导入受信任证书
A. 展开"证书"节点
B. 右击"受信任的根证书颁发机构"-->"所有任务(K))"-->"导入(I)…"
C. 单击"下一步", 然后选择从控制台下载的证书
D. "下一步"-->"下一步"-->"完成"。
3. 客户端连接,SQL Server Management Studio中勾选"Encrypt connection" ,应用程序的连接字符串中设置"encrypt=true"。
