背景信息

為了提高鏈路安全性，OceanBase 數(shù)據(jù)庫連接支持開啟 SSL（Secure Sockets Layer）加密，通過在傳輸層對網(wǎng)絡(luò)連接進行加密，提升通信數(shù)據(jù)的安全性。在開啟 SSL 連接之后，支持設(shè)置要求客戶端也必須使用 SSL 連接訪問。

操作步驟

1. 登錄 OceanBase 管理控制臺。

2. 在左側(cè)導(dǎo)航欄單擊 實例列表。

3. 在實例列表中找到目標(biāo)集群實例，單擊集群實例名稱，進入 集群實例工作臺 頁面。

4. 在左側(cè)導(dǎo)航欄單擊 安全設(shè)置。

5. 單擊 SSL 鏈路加密 頁簽，您可進行如下操作。

   1. 單擊 SSL 鏈路加密 開關(guān)，開啟 SSL 鏈路加密，開啟過程大概需要 3~5 分鐘。SSL 鏈路加密成功開啟后，有些版本可選擇是否開啟 強制 SSL 連接。如果頁面不顯示強制 SSL 鏈接，說明當(dāng)前版本不支持強制開啟。

      說明

      開啟強制 SSL 連接，會屏蔽非 SSL 連接，歷史創(chuàng)建的非 SSL 連接將失效，請注意切換連接方式。

   2. 單擊 下載 CA 證書，下載證書。

      下載的文件為壓縮包，包含如下三個文件：

      • p7b 文件：用于 Windows 系統(tǒng)中導(dǎo)入 CA 證書。

      • PEM 文件：用于其他系統(tǒng)或應(yīng)用中導(dǎo)入 CA 證書。

      • JKS 文件：Java 中的 truststore 證書存儲文件，密碼統(tǒng)一為 OceanBase，用于 Java 程序中導(dǎo)入 CA 證書鏈。

      說明

      在 Java 中使用 JKS 證書文件時，jdk7 和 jdk8 需要修改默認(rèn)的 jdk 安全配置，在應(yīng)用程序所在主機的jre/lib/security/java.security文件中，修改如下兩項配置：

      jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
      jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

      若不修改 jdk 安全配置，會報如下錯誤。其他類似報錯，一般也都由 Java 安全配置導(dǎo)致。

      javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

   3. 單擊 更新有效期，可以刷新 SSL 證書有效期。

      

   4. 單擊 自動更新 SSL 證書有效期 開關(guān)，開啟后，證書將在到期前 7 天自動更新，每次更新有效時長為 360 天。