用户指南—账号和安全—设置SSL加密-阿里云开发者社区

开发者社区> -技术小能手-> 正文

用户指南—账号和安全—设置SSL加密

简介: 为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。
+关注继续查看

前提条件

实例需为PolarDB-X且版本为5.4.10或以上,实例基本信息页可查看实例版本信息。

注意事项

  • SSL的证书有效期为1年,请及时更新证书有效期并重新下载配置CA证书,否则使用加密连接的客户端程序将无法正常连接。
  • 由于SSL加密的实现原理,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。
  • 开启或关闭SSL加密会重启实例,请谨慎操作。

开启SSL加密

  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 打开SSL配置的开关。11.png

  8. 说明
    开启SSL加密时,默认选择内网地址为SSL受保护的地址。您也可以将受保护的地址修改为公网地址,详情请参见修改SSL受保护地址
  1. 在弹出的对话框中,单击确定
    注意 开启或关闭SSL加密会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
  2. 开通成功后,单击下载CA证书。下载的文件为压缩包,包含如下三个文件:
    • .p7b文件:用于Windows系统中导入CA证书。
    • .pem文件:用于其他系统或应用中导入CA证书。
    • .jks文件:Java中的truststore证书存储文件,密码统一为apsaradb,用于Java程序中导入CA证书链。
      说明 在Java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在应用程序所在主机的jre/lib/security/java.security文件中,修改如下两项配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
    • 若不修改jdk安全配置,会报如下错误。其它类似报错,一般也都由Java安全配置导致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

配置SSL CA证书

开通SSL加密后,应用或者客户端连接RDS时需要配置SSL CA证书。本文以MySQL Workbench和Navicat为例,介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。

MySQL Workbench配置方法

  1. 打开MySQL Workbench。
  2. 选择Database > Manage Connections
  3. 启用Use SSL,并导入SSL CA证书。
    12.png
  4. Navicat配置方法
  5. 打开Navicat。
  6. 在目标数据库上单击鼠标右键,选择编辑连接
    13.png
  7. 选择SSL页签,选择.pem格式CA证书的路径。14.png
  8. 单击确定
    说明 如果报connection is being used错误,是由于之前的会话未断开,请关闭Navicat重新打开。
  9. 双击目标数据库测试能否正常连接。15.png

更新证书有效期


说明

  • 更新有效期操作将会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
  • 更新有效期后需要重新下载及配置CA证书。16.png

修改SSL受保护地址

  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 单击设置SSL
  8. 在弹出的对话框中,选择目标地址为受保护的地址。17.png

  9. 说明
    • 开通SSL时,默认选择内网地址为SSL受保护的地址,您可以将其修改为公网地址。
    • 修改SSL受保护地址操作将会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
    • 修改SSL受保护地址后需要重新下载及配置CA证书。
  1. 单击确定即可。

关闭SSL加密


说明

  • 关闭SSL加密会重启实例,建议您在业务低峰期操作,并确保您的应用具备自动重连机制。
  • SSL加密关闭后,数据库访问性能会有一定程度提升,但安全性上有削弱,故非安全环境下不建议关闭SSL加密。
  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 关闭SSL配置的开关。19.png
  8. 在弹出的框中对话中单击确定即可。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
JavaWeb网站性能优化的相关技术
  一、提高服务器并发处理能力   我们总是希望一台服务器在单位时间内能处理的请求越多越好,这也成了web服务器的能力高低的关键所在。服务器之所以可以同时处理多个请求,在于操作系统通过多执行流体系设计,使得多个任务可以轮流使用系统资源,这些资源包括CPU、内存以及I/O等。这就需要选择一个合适的并发策略来合理利用这些资源,从而提高服务器的并发处理能力。这些并发策略更多的应用在apache、nginx、lighttpd等底层web server软件中。   二、Web组件分离   这里所说的web组件是指web服务器提供的所有基于URL访问的资源,包括动态内容,静态网页,图片,样式表,脚
7 0
Java编程——Redis详解
  Redis简介   Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库。   Redis 与其他 key - value 缓存产品有以下三个特点:   Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。Redis支持数据的备份,即master-slave模式的数据备份。Redis 优势:性能极高 – Redis能读的速度是110000次/s,写的速度是81000次/s 。丰富的数据类型 –
5 0
Java教程:Nginx静态资源配置命令介绍
  Nginx静态资源的配置指令   listen指令   listen:用来配置监听端口。   语法   listen address[:port] [default_server]...; listen port [default_server]...;   默认值   listen *:80 | *:8000   位置   server   listen的设置比较灵活,我们通过几个例子来把常用的设置方式熟悉下:   listen 127.0.0.1:8000; // listen localhost:8000 监听指定的IP和端口   listen 127.0.0
8 0
java结合android和ios的三端非对称接口加密讲解
  算法:有rsa及aes算法   Java端处理方式:   入参处理方式   1、参数通过request.getParameter获取的话,可以通过自己定义一个filter来进行处理。   定义两个类,分别继承HttpServletRequestWrapper及Filter,将该filter配置到web.xml里面,在其他filter前面,以免影响程序获取参数的调用   public class SafeTextRequestWrapper extends HttpServletRequestWrapper {   public SafeTextRequestWrapper(H
6 0
Java 性能优化:35个小细节,让你提升Java代码运行的效率
  代码优化,一个很重要的课题。可能有些人觉得没用,一些细小的地方有什么好修改的,改与不改对于代码的运行效率有什么影响呢?这个问题我是这么考虑的,就像大海里面的鲸鱼一样,它吃一条小虾米有用吗?没用,但是,吃的小虾米一多之后,鲸鱼就被喂饱了。   代码优化也是一样,如果项目着眼于尽快无BUG上线,那么此时可以抓大放小,代码的细节可以不精打细磨;但是如果有足够的时间开发、维护代码,这时候就必须考虑每个可以优化的细节了,一个一个细小的优化点累积起来,对于代码的运行效率绝对是有提升的。
8 0
Java-Redis笔记
  Redis   1. 概念: redis是一款高性能的NOSQL系列的非关系型数据库   1.1.什么是NOSQL   NoSQL(NoSQL=Not Only SQL),意即“不仅仅是SQL”,是一项全新的数据库理念,泛指非关系型的数据库。   随着互联网web2.0网站的兴起,传统的关系数据库在应付web2.0网站,特别是超大规模和高并发的SNS类型的web2.0纯动态网站已经显得力不从心,暴露了很多难以克服的问题,而非关系型的数据库则由于其本身的特点得到了非常迅速的发展。NoSQL数据库的产生就是为了解决大规模数据集合多重数据种类带来的挑战,尤其是大数据应用难题。
6 0
Java高级软件工程师面试考纲
  如果要应聘高级开发工程师职务,仅仅懂得Java的基础知识是远远不够的,还必须懂得常用数据结构、算法、网络、操作系统等知识。因此本文不会讲解具体的技术,笔者综合自己应聘各大公司的经历,整理了一份大公司对Java高级开发工程师职位的考核纲要,希望可以帮助到需要的人。   当前,市面上有《Java XX宝典》类似的图书,而且图书中的内容都着重在讲解Java最为基础的部分,最严重的是,里面有着大量错误的内容,极具误导性。另外,网上也有各种各样的Java面试题,很多也是着重在Java语言基础上。实际上,如果要应聘高级开发工程师职务,仅仅懂得Java的基础知识是远远不
6 0
百度大脑十年丰绩大成:6.0全新发布,具备认知能力的终端虚拟人亮相
「智能时代的操作系统」飞桨和自研 AI 处理器百度昆仑都已就位,产业智能化时代正在到来。
7 0
SpringBoot 如何在日志中增加 trace id 用于链路追踪
SpringBoot 如何在日志中增加 trace id 用于链路追踪
6 0
Java 并发与高并发知识学习
  一、并发与高并发基本概念   并发:   从业务上简单解释就是多个用户(编码层面就是多个线程)共同竞争(修改或读取)一个资源,并发问题更多体现在业务代码操作数据上,例如:秒杀场景,瞬间会有大量用户共同抢购一个商品,这时候如果没有并发控制,则极有可能出现超卖情况,即库存被扣成了负数。   从操作系统以及硬件层面解释并发:有多个线程运行在CPU上,当在单核处理上运行的时候,多个线程在单核处理上交替执行(伪并行),不断的从内存中换入换出,在多核处理器上每个线程会被分配到某一个内核上运行(并行),我觉得更适合叫并行计算。
6 0
1280
文章
0
问答
来源圈子
更多
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载