开发者社区> 问答> 正文

SSL证书加密套件最佳配置

SSL证书加密套件最佳配置

展开
收起
干嘛呀 2020-06-11 14:25:13 4028 0
2 条回答
写回答
取消 提交回答
  •  以nginx为例: ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers  HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM; 

    2020-06-11 19:20:10
    赞同 展开评论 打赏
  • 开启SSL加密

    1.登录 RDS 管理控制台
    2.在页面左上角,选择实例所在地域。
    image.png

    3.找到目标实例,单击实例ID。
    4.在左侧菜单栏中单击数据安全性。
    5.选择SSL标签页。
    6.单击未开通前面的开关,如下图所示。

    image.png

    7.在设置 SSL对话框中选择要开通SSL加密的链路,单击确定,开通 SSL 加密。 说明 用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。 image.png

    8.单击下载证书,下载SSL CA证书,如下图所示。
    image.png

    下载的文件为压缩包,包含如下三个文件:

    1.p7b文件:用于Windows系统中导入CA证书。

    2.PEM文件:用于其他系统或应用中导入CA证书。

    3.JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。

    说明 在java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在需要SSL访问的数据库所在机器的jre/lib/security/java.security文件中,修改如下两项配置:

    jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
    jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
    
    

    若不修改jdk安全配置,会报如下错误。其它类似报错,一般也都由java安全配置导致

    javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
    
    
    2020-06-11 17:15:25
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
基于可信计算与加密计算 打造云上原生计算安全 立即下载
视频服务特色解决方案——直播连麦与点播加密 立即下载
量子加密通信技术 立即下载