SSL在傳輸層對網(wǎng)絡連接進行加密，能提升通信數(shù)據(jù)的安全性和完整性，但會同時增加網(wǎng)絡連接響應時間。

注意事項

• 每個代理終端中僅支持對一個代理連接地址設置SSL加密。

• 開通SSL加密、關閉SSL加密、修改SSL加密、更新證書有效期都會重啟代理實例，請謹慎操作。

開通SSL加密

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 在左側導航欄，單擊數(shù)據(jù)庫代理。

3. 在連接信息區(qū)域，將鼠標懸停在目標代理連接地址ID，在彈出的對話框中的SSL配置信息區(qū)域，單擊SSL證書信息右側的開通。

4. 在彈出的對話框中，選擇需要加密的地址，然后單擊確定。

5. SSL狀態(tài)變?yōu)?b data-tag="uicontrol" id="a8e4bae082ujk" class="uicontrol">已開通后，單擊SSL證書信息右側的下載CA證書。

   說明

   • 下載的文件為壓縮包，包含如下三個文件：

     • PEM文件：適用于絕大部分場景。

     • JKS文件：PEM格式CA證書通常需要導入到truststore，即轉換為JKS文件才能在Java中使用。您可以在Java程序中使用此JKS文件，密碼為apsaradb。

     • p7b文件：適用于少數(shù)要求PKCS #7證書文件的Windows應用。

   • 配置SSL CA證書后，可以驗證數(shù)據(jù)庫服務器端證書。

   • 在Java中使用JKS證書文件時，jdk7和jdk8需要修改默認的jdk安全配置，在應用程序所在主機的jre/lib/security/java.security文件中，修改如下兩項配置：

     jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
     jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024

     若不修改jdk安全配置，會報如下錯誤。其它類似報錯，一般也都由Java安全配置導致。

     javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints

配置SSL CA證書

開通SSL加密并下載CA證書后，可以配置SSL CA證書。具體操作，請參見配置CA證書。

修改SSL加密地址

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 在左側導航欄，單擊數(shù)據(jù)庫代理。

3. 在連接信息區(qū)域，將鼠標懸停在目標代理連接地址ID，在彈出的對話框中的SSL配置信息區(qū)域，單擊受保護地址下方的修改受保護地址。

4. 選擇需要加密的地址，然后單擊確定。

更新證書有效期

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 在左側導航欄，單擊數(shù)據(jù)庫代理。

3. 在連接信息區(qū)域，將鼠標懸停在目標代理連接地址ID，在彈出的對話框中的SSL配置信息區(qū)域，單擊SSL證書信息右側的更新有效期，在彈出的對話框中單擊確定。

關閉SSL加密

1. 訪問RDS實例列表，在上方選擇地域，然后單擊目標實例ID。

2. 在左側導航欄，單擊數(shù)據(jù)庫代理。

3. 在連接信息區(qū)域，將鼠標懸停在目標代理連接地址ID，在彈出的對話框中的SSL配置信息區(qū)域，單擊SSL證書信息右側的關閉，在彈出的對話框中單擊確定。

相關API

附錄

通過SSL連接數(shù)據(jù)庫示例代碼

請參見通過SSL連接數(shù)據(jù)庫示例代碼。

SSL加密常見問題

請參見SSL加密常見問題。