设置SSL加密

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为了提高访问宽表引擎的链路安全性,您可以启用SSL(Secure Sockets Layer)加密,并安装CA证书到所需要的应用服务中。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性,但会增加网络连接响应时间。

警告

开启和关闭SSL加密会重启实例,在重启过程中实例会出现秒级的连接闪断,建议您在业务低峰期执行该操作并确保应用具备重连机制。

前提条件

  • 已创建云原生多模数据库 Lindorm实例并开通宽表引擎,具体操作,请参见创建实例

  • 已安装Java环境,要求安装JDK 1.8及以上版本。

背景信息

SSLNetscape公司提出的安全保密协议,在浏览器和Web服务器之间构造安全通道来进行数据传输,采用RC4、MD5、RSA等加密算法实现安全通讯。国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,标准化后更名为安全传输层协议(TLS)。由于SSL术语更为常用,因此本文所述SSL加密实际指TLS加密。

注意事项

  • CA证书的默认有效期为10年。

  • 关闭SSL加密后,仅支持通过非SSL方式连接。

  • 关闭SSL加密后,原始CA证书会失效,重新开启SSL加密,您需重新下载配置CA证书,否则无法通过SSL连接。

  • 开启和关闭SSL加密会重启实例,实例会出现秒级的连接闪断,请在业务低峰期执行该操作并确保应用具备重连机制。

操作步骤

  1. 登录Lindorm管理控制台

  2. 在页面左上角,选择实例所属的地域。

  3. 实例列表页,单击目标实例ID或者目标实例所在行操作列的管理

  4. 在左侧导航栏,单击宽表引擎

  5. 选择数据安全页签,单击数据链路SSL

  6. 开启SSL加密。

    1. 打开当前状态开关。

    2. 在弹出的开启SSL加密对话框中,单击确定

  7. 单击页面左下角下载CA证书

  8. 可选:关闭SSL加密。

    1. 关闭当前状态开关。

    2. 在弹出的关闭SSL加密对话框中,单击确定

导入CA证书(以Java为例)

您需要将CA证书导入到Java可信任证书库中,应用才能通过SSL加密方式访问Lindorm实例。

  1. 打开JDK的安装目录,进入jre/bin目录。

  2. 执行以下命令将下载的CA证书导入到Java可信任证书库中,导入过程中需要输入密码(默认密码是changeit)。

    keytool -import -alias server -keystore cacerts -file /path-to-crt/server.crt

    参数说明:

    /path-to-crt/server.crtCA证书下载后的保存路径。

    语句示例:

    keytool -import -alias server -keystore cacerts -file /root/CA/ld-bp12pc23yfb38****.crt
  3. 证书导入成功后,您可以访问Lindorm实例,具体操作,请参见基于HBaseJava API的应用开发