如何为PolarDB数据库设置SSL加密以提高链路安全性
为了保障网络安全,提高链路安全性,您可以为PolarDB数据库启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到相关的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但可能会增加网络连接响应时间。
首先,我们需要了解SSL的背景信息。SSL是Netscape公司所提出的安全保密协议,用于在浏览器和Web服务器之间构建安全通道来进行数据传输,采用RC4、MD5、RSA等加密算法实现安全通讯。后来,国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,并将其更名为安全传输层协议(TLS)。但由于SSL这一术语更为常用,因此本文所述SSL加密实际是指TLS加密。
在设置SSL加密时,请注意以下几点:
- SSL的证书有效期为1年,请及时更新证书有效期并重新下载和配置CA证书,否则使用加密连接的客户端程序将无法正常连接。
- 由于SSL加密的固有缺陷,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。
- 修改受保护地址后,SSL证书会自动更新,同时需要重启您的数据库实例,请谨慎操作。
- 更新证书有效期操作将会重启集群,重启前请做好业务安排,谨慎操作。
接下来,我们来看如何开启SSL加密和下载证书: - 登录PolarDB控制台。
- 在控制台左上角,选择集群所在地域。
- 找到目标集群,单击集群ID。
- 在左侧菜单栏中单击配置与管理 > 安全管理。
在SSL配置页签,单击SSL状态右侧滑块,开启SSL加密。您可以选择需要开通SSL加密的链路,但请注意,只能加密一条链路。
当SSL状态变为已开通后,单击下载证书。PolarDB MySQL版8.0、5.7和5.6版本支持为主地址、集群地址和自定义地址配置SSL。
最后,需要注意的是,开启SSL加密的PolarDB连接地址需要少于64个字符,如需修改连接地址,请参见配置数据库代理。
