用户指南—账号和安全—设置SSL加密

本文涉及的产品
云原生数据库 PolarDB 分布式版,标准版 2核8GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
简介: 为了提高链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。

前提条件

实例需为PolarDB-X且版本为5.4.10或以上,实例基本信息页可查看实例版本信息。

注意事项

  • SSL的证书有效期为1年,请及时更新证书有效期并重新下载配置CA证书,否则使用加密连接的客户端程序将无法正常连接。
  • 由于SSL加密的实现原理,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。
  • 开启或关闭SSL加密会重启实例,请谨慎操作。

开启SSL加密

  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 打开SSL配置的开关。11.png

  8. 说明
    开启SSL加密时,默认选择内网地址为SSL受保护的地址。您也可以将受保护的地址修改为公网地址,详情请参见修改SSL受保护地址
  1. 在弹出的对话框中,单击确定
    注意 开启或关闭SSL加密会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
  2. 开通成功后,单击下载CA证书。下载的文件为压缩包,包含如下三个文件:
    • .p7b文件:用于Windows系统中导入CA证书。
    • .pem文件:用于其他系统或应用中导入CA证书。
    • .jks文件:Java中的truststore证书存储文件,密码统一为apsaradb,用于Java程序中导入CA证书链。
      说明 在Java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在应用程序所在主机的jre/lib/security/java.security文件中,修改如下两项配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
    • 若不修改jdk安全配置,会报如下错误。其它类似报错,一般也都由Java安全配置导致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

配置SSL CA证书

开通SSL加密后,应用或者客户端连接RDS时需要配置SSL CA证书。本文以MySQL Workbench和Navicat为例,介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。

MySQL Workbench配置方法

  1. 打开MySQL Workbench。
  2. 选择Database > Manage Connections
  3. 启用Use SSL,并导入SSL CA证书。
    12.png
  4. Navicat配置方法
  5. 打开Navicat。
  6. 在目标数据库上单击鼠标右键,选择编辑连接
    13.png
  7. 选择SSL页签,选择.pem格式CA证书的路径。14.png
  8. 单击确定
    说明 如果报connection is being used错误,是由于之前的会话未断开,请关闭Navicat重新打开。
  9. 双击目标数据库测试能否正常连接。15.png

更新证书有效期


说明

  • 更新有效期操作将会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
  • 更新有效期后需要重新下载及配置CA证书。16.png

修改SSL受保护地址

  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 单击设置SSL
  8. 在弹出的对话框中,选择目标地址为受保护的地址。17.png

  9. 说明
    • 开通SSL时,默认选择内网地址为SSL受保护的地址,您可以将其修改为公网地址。
    • 修改SSL受保护地址操作将会重启实例,建议在业务低峰期操作,并确保您的应用具备自动重连机制。
    • 修改SSL受保护地址后需要重新下载及配置CA证书。
  1. 单击确定即可。

关闭SSL加密


说明

  • 关闭SSL加密会重启实例,建议您在业务低峰期操作,并确保您的应用具备自动重连机制。
  • SSL加密关闭后,数据库访问性能会有一定程度提升,但安全性上有削弱,故非安全环境下不建议关闭SSL加密。
  1. 登录云原生分布式数据库控制台
  2. 在页面左上角选择目标实例所在地域。
  3. 实例列表页,单击PolarDB-X 2.0页签。
  4. 找到目标实例,单击实例ID。
  5. 在左侧导航栏选择配置与管理 > 安全管理
  6. 单击SSL配置页签
  7. 关闭SSL配置的开关。19.png
  8. 在弹出的框中对话中单击确定即可。
相关文章
|
2天前
|
存储 安全 数据安全/隐私保护
安全升级!Python AES加密实战,为你的代码加上一层神秘保护罩
【9月更文挑战第12天】在软件开发中,数据安全至关重要。本文将深入探讨如何使用Python中的AES加密技术保护代码免受非法访问和篡改。AES(高级加密标准)因其高效性和灵活性,已成为全球最广泛使用的对称加密算法之一。通过实战演练,我们将展示如何利用pycryptodome库实现AES加密,包括生成密钥、初始化向量(IV)、加密和解密文本数据等步骤。此外,还将介绍密钥管理和IV随机性等安全注意事项。通过本文的学习,你将掌握使用AES加密保护敏感数据的方法,为代码增添坚实的安全屏障。
15 8
|
3天前
|
存储 安全 算法
RSA在手,安全我有!Python加密解密技术,让你的数据密码坚不可摧
【9月更文挑战第11天】在数字化时代,信息安全至关重要。传统的加密方法已难以应对日益复杂的网络攻击。RSA加密算法凭借其强大的安全性和广泛的应用场景,成为保护敏感数据的首选。本文介绍RSA的基本原理及在Python中的实现方法,并探讨其优势与挑战。通过使用PyCryptodome库,我们展示了RSA加密解密的完整流程,帮助读者理解如何利用RSA为数据提供安全保障。
14 5
|
7天前
|
存储 安全 算法
显微镜下的安全战!Python加密解密技术,透视数字世界的每一个安全细节
【9月更文挑战第7天】在数字世界中,数据安全至关重要。Python加密解密技术如同显微镜下的精密工具,确保信息的私密性和完整性。以大型医疗机构为例,通过AES和RSA算法的结合,既能高效加密大量医疗数据,又能安全传输密钥,防止数据泄露。以下是使用Python的`pycryptodome`库实现AES加密和RSA密钥交换的简化示例。此方案不仅提高了数据安全性,还为数字世界的每个细节提供了坚实保障,引领我们迈向更安全的未来。
16 1
|
13天前
|
安全 开发者 数据安全/隐私保护
Xamarin 的安全性考虑与最佳实践:从数据加密到网络防护,全面解析构建安全移动应用的六大核心技术要点与实战代码示例
【8月更文挑战第31天】Xamarin 的安全性考虑与最佳实践对于构建安全可靠的跨平台移动应用至关重要。本文探讨了 Xamarin 开发中的关键安全因素,如数据加密、网络通信安全、权限管理等,并提供了 AES 加密算法的代码示例。
26 0
|
20天前
|
安全 网络安全 数据安全/隐私保护
|
20天前
|
安全 网络安全 数据安全/隐私保护
|
20天前
|
存储 编解码 监控
云端加密代码库问题之企业设置网络隔离如何解决
云端加密代码库问题之企业设置网络隔离如何解决
|
2天前
|
安全 算法 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第11天】在数字化时代,网络安全与信息安全已成为我们生活中不可或缺的一部分。本文将探讨网络安全漏洞、加密技术以及安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者提高网络安全防护能力。
24 12
|
2天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第11天】在数字时代,网络安全和信息安全已经成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,并提供一些实用的建议来保护自己的信息安全。
|
2天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第11天】在数字时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解如何保护自己的网络安全和信息安全。同时,本文还将提供一些代码示例,让读者更加深入地理解这些概念。