发布:凯铧互联
注意
由于SSL加密的固有缺陷,启用SSL加密会显著增加CPU使用率,建议您仅在外网链路有加密需求的时候启用SSL加密。内网链路相对较安全,一般无需对链路加密。
开启SSL加密后,将无法再关闭,请谨慎操作。
开启SSL加密
1.登录RDS管理控制台。
2.选择目标实例所在地域。
3.单击目标实例的ID,进入基本信息页面。
4.在左侧菜单栏中选择数据安全性,进入数据安全性页面。
5.选择SSL标签页。
6.单击未开通前面的开关,如下图所示。
7.在设置 SSL对话框中选择要开通SSL加密的链路,单击确定,开通 SSL 加密,如下图所示。
说明:用户可以根据需要,选择加密内网链路或者外网链路,但只可以加密一条链路。
单击下载证书,下载SSL CA证书,如下图所示。
下载的文件为压缩包,包含如下三个文件:
p7b文件:用于Windows系统中导入CA证书。
PEM文件:用于其他系统或应用中导入CA证书。
JKS文件:java中的truststore证书存储文件,密码统一为apsaradb,用于java程序中导入CA证书链。
注意:在java中使用JKS证书文件时,jdk7和jdk8需要修改默认的jdk安全配置,在需要SSL访问的数据库所在机器的jre/lib/security/java.security文件中,修改如下两项配置:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
若不修改jdk安全配置,会报如下错误。其它类似报错,一般也都由java安全配置导致。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
配置SSL CA证书
开通SSL加密后,应用或者客户端连接RDS时需要配置SSL CA证书。本文以MySQL Workbench为例,介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。
打开MySQL Workbench。
选择Database > Manage Connections。
启用Use SSL,并导入SSL CA证书,如下图所示。
为什么选择我们: 北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云,百度云,金山云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。
凯铧互联专属服务: 阿里云代理商凯铧互联为每一个用户提供专属网络架构服务,同时还能提供阿里云服务器ECS、阿里云CDN等产品等的专属折扣优惠购买。如果您需要详细的为您的企业选择最适合自己的服务器配置类型,请您联系客服,专业人员为您提供服务,同时还能获得更多的优惠折扣,电话专线:136-5130-9831,QQ:3398234753。
阿里云代理商凯铧互联提供阿里云服务器,云服务器解决方案,万网虚拟主机,阿里云邮箱,云数据库RDS,对象存储OSS,负载均衡,CDN、云盾安全,DDOS高防IP等产品的全国代买服务,直属会员+双重售后服务+更多优惠政策。