日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云數(shù)據(jù)庫 Tair(兼容 Redis?) 操作指南 賬號與安全 開啟TLS加密

開啟TLS加密

更新時間:
產(chǎn)品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。

云數(shù)據(jù)庫 Tair(兼容 Redis)支持TLS(Transport Layer Security)加密協(xié)議,TLS協(xié)議具有比SSL(Secure Sockets Layer)協(xié)議更好的加密技術和更高級別的安全性,可進一步保障數(shù)據(jù)通信安全。

背景信息

TLS協(xié)議是SSL協(xié)議的升級版,當前已成為互聯(lián)網(wǎng)加密通信的標準協(xié)議,在現(xiàn)代網(wǎng)絡中被廣泛使用。以下是TLS相對SSL的一些優(yōu)勢:

  • 加密強度:TLS協(xié)議使用更強大的加密技術,例如AES(Advanced Encryption Standard)算法。

  • 安全性:TLS協(xié)議采用更安全的算法和協(xié)議,例如SHA-2(Secure Hash Algorithm 2)算法。

  • 兼容性:TLS協(xié)議是更現(xiàn)代化的協(xié)議,更加兼容現(xiàn)代瀏覽器和服務器,且支持更廣泛的加密協(xié)議和密碼套件。

  • 安全更新:TLS協(xié)議支持實時升級加密算法和協(xié)議。

因此,若您希望在傳輸層對網(wǎng)絡連接進行加密,推薦您使用更安全、更新的TLS加密功能(該功能默認關閉)。

前提條件

實例滿足如下條件:

  • 實例版本為Tair(企業(yè)版)內(nèi)存型、持久內(nèi)存型或Redis開源版5.0、6.0、7.0。

  • 實例類型為高可用(雙副本)。

  • 若實例已申請公網(wǎng)連接地址,請釋放公網(wǎng)連接地址,釋放后才能開啟TLS加密功能。

    說明

    經(jīng)典版集群架構(gòu)實例已申請直連地址,也請釋放直連地址。

注意事項

  • 創(chuàng)建TLS連接需要經(jīng)歷多次握手過程,包括認證和密鑰交換,這些步驟會占用顯著的計算資源和時間,創(chuàng)建TLS連接的速度顯著低于創(chuàng)建普通連接。在短時間內(nèi)無法快速創(chuàng)建大量TLS連接,且頻繁創(chuàng)建TLS連接會顯著影響正常請求的延遲。因此,建議通過使用TLS長連接來減少這些開銷,盡量避免頻繁創(chuàng)建和銷毀TLS連接,以降低對性能的影響。

  • 建立TLS連接后,使用TLS連接傳輸數(shù)據(jù),由于所有的數(shù)據(jù)都需要加密、解密,也會產(chǎn)生額外開銷,這些額外開銷會伴隨傳輸內(nèi)容大小增長。

    說明

    具體的性能影響因業(yè)務場景而異,需要進行實際測試來評估在特定業(yè)務環(huán)境下的影響程度。

  • 開啟TLS加密功能后,實例將不支持申請公網(wǎng)連接地址,同時經(jīng)典版集群實例也無法申請直連地址,客戶端只能通過專有網(wǎng)絡、TLS加密方式連接實例。連接示例請參見啟用TLS(SSL)加密連接實例。

  • 開啟TLS加密功能后,實例將不支持遷移可用區(qū)。

  • 開啟TLS加密功能后,若修改了實例的連接地址或端口號,請更新實例TLS證書,再進行連接。否則會報錯No subject alternative DNS name matching xxx found

操作步驟

  1. 訪問實例列表,在上方選擇地域,然后單擊目標實例ID。

  2. 在左側(cè)導航欄,單擊TLS(SSL)設置。

  3. 單擊一鍵開通。

  4. 在彈出的對話框中,選擇TLS版本

    參數(shù)說明:

    • TLSv1.3(推薦):RFC8446,2018年發(fā)布,相比較TLSv1.2,TLSv1.3具有更快、更安全的特性。

    • TLSv1.2(推薦):RFC5246,2008年發(fā)布,具有強大的加密技術,能提供更好的安全保護。

    • TLSv1.1:RFC4346,2006年發(fā)布,修復TLSv1.0若干漏洞。

    • TLSv1.0:RFC2246,1999年發(fā)布,基于SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE)。

  5. 單擊確定。

    警告

    本操作將觸發(fā)重啟實例,實例會出現(xiàn)秒級的連接閃斷,請在業(yè)務低峰期執(zhí)行該操作并確保應用具備重連機制。

    此時,您可以通過刷新控制臺頁面,更新TLS的開通狀態(tài)。

    開通TLS后,您可以單擊頁面中的下載CA證書,將CA證書導入至客戶端中。下載的文件為壓縮包,包含如下三個文件:

    • ApsaraDB-CA-Chain.p7b:用于Windows系統(tǒng)中導入CA證書。

    • ApsaraDB-CA-Chain.pem:用于其他系統(tǒng)(如Linux)或應用中導入CA證書。

    • ApsaraDB-CA-Chain.jks:Java中的truststore證書存儲文件,用于Java程序中導入CA證書鏈。

    不同實例下載的CA證書均相同,可以用于連接任何實例。

管理TLS加密設置

以下操作需要在實例已開通TLS加密后進行。

  1. 訪問實例列表,在上方選擇地域,然后單擊目標實例ID。

  2. 在左側(cè)導航欄,單擊TLS(SSL)設置。

  3. 根據(jù)要執(zhí)行的操作,選擇下述操作步驟。

    要執(zhí)行的操作

    操作說明

    更新CA證書

    單擊頁面中的更新證書,然后單擊確定。

    開通TLS加密時,證書的默認有效期為3年,且不支持自定義有效期。在證書到期前20天,實例會發(fā)起主動運維,更新證書有效期。屆時,您可以在事件管理 > 計劃內(nèi)事件中修改運維時間?;蛘吣部梢噪S時單擊更新證書并重新下載配置CA證書,更新后,證書將重新獲取3年有效期。

    警告

    本操作會使實例出現(xiàn)秒級的連接閃斷,請在業(yè)務低峰期執(zhí)行該操作并確保應用具備重連機制。

    修改TLS版本

    單擊TLS版本右側(cè)的image圖標,然后在下拉列表中選擇要更換的TLS版本。推薦使用TLSv1.2版本。

    說明

    如果TLS 最低版本下拉列表處于不可用狀態(tài),請升級實例的小版本后重試,具體操作請參見升級小版本與代理版本。

    關閉TLS加密

    關閉TLS狀態(tài)右側(cè)的開關。

    警告

    本操作將觸發(fā)重啟實例,實例會出現(xiàn)秒級的連接閃斷,請在業(yè)務低峰期執(zhí)行該操作并確保應用具備重連機制。

    更新證書或修改TLS版本后,無需重新下載證書,可繼續(xù)使用。

相關API

API

說明

ModifyInstanceTLS(SSL)

設置實例的TLS(SSL)加密功能。

后續(xù)步驟

啟用TLS(SSL)加密連接實例

常見問題

  • 為什么我的實例無法開啟TLS功能?

    若實例為經(jīng)典版讀寫分離架構(gòu)實例,不支持開啟TLS功能。