设置 SSL 加密
下载
聚焦模式
字号
SSL 加密概述
SSL(Secure Sockets Layer)认证是客户端到云数据库服务器端的认证,对用户和服务器进行认证。开通 SSL 加密,可获取 CA 证书,将 CA 证书上传在服务端。在客户端访问数据库时,将激活 SSL 协议,在客户端和数据库服务端之间建立一条 SSL 安全通道,实现数据信息加密传输,防止数据在传输过程中被截取、篡改、窃听,保证双方传递信息的安全性。
SSL 协议要求建立在可靠的传输层协议(TCP)之上,其优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP、FTP、TELNET 等)能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作,在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
背景
使用非加密方式连接数据库时,在网络中传输的所有信息都是明文,因此存在被非法用户窃听、篡改、冒充的三大风险;而 SSL 协议是为解决这三大风险而设计的,理论上可达到:
信息是加密传播,第三方无法窃听。
具有校验机制,一旦被篡改,通信双方会立刻发现。
配备身份证书,防止身份被冒充。
TDSQL Boundless 支持在控制台为实例开启 SSL 加密,并下载 CA 证书供客户端建立 SSL 连接。
注意:
SSL 加密不保护数据本身,是确保来往于数据库和服务器之间的流量安全,在传输层对网络连接进行加密,能够提升通信数据的安全性和完整性,但会同时增加网络连接响应时间。
前提条件
实例内核版本为 V21.6.1.0 及以上。
实例兼容模式为 MySQL 兼容模式。
使用限制
在使用 SSL 加密功能前,请了解以下限制:
认证模式:当前仅支持服务端单向认证(Server-only TLS),即客户端使用 CA 证书校验数据库服务端身份;暂不支持双向认证(mTLS)。
克隆实例:通过克隆方式创建的新实例不会继承源实例的 SSL 加密配置,如需启用,请在新实例上重新开启。
支持的 TLS 协议版本:TDSQL Boundless 基于 OpenSSL 实现安全连接,支持的传输层安全性协议(TLS)版本如下表所示。
协议版本 | 是否支持 |
TLS 1.2 | 支持(推荐) |
TLS 1.3 | 支持(推荐) |
TLS 1.0 / TLS 1.1 | 已不再推荐,是否可用取决于运行环境的 OpenSSL 安全策略。 |
开启 SSL 加密
1. 登录 TDSQL Boundless 控制台,在实例列表中,单击实例 ID,进入实例管理页面。
2. 选择数据安全页签,在 SSL 区域查看当前状态。
3. 此功能默认为未打开,可单击状态右侧的开启,在弹窗中单击确定,开启 SSL 加密。
说明:
开启或关闭 SSL 过程中,无需重启实例;已建立的连接不受影响;新建立的连接将按更新后的 SSL 策略生效。
4. 单击下载,将 CA 证书文件保存到本地,用于客户端校验数据库服务端身份,证书有效期为20年。
下载的证书文件为压缩包(
TencentDB-TDSQL-B-SSL-CA.zip),包含如下三个文件:ca.p7b 文件:用于 Windows 系统中导入 CA 证书。ca.jks 文件:Java 的 truststore 和 keystore 存储文件,密码统一为 tencentdb,用于 Java 程序中导入 CA 证书链。ca.pem 文件:用于其他系统或应用中导入 CA 证书。注意:
实例 IP 发生变更(例如修改网络)时,证书会自动更新对应的 IP 信息,无需用户手动干预。
配置 SSL 证书
开启 SSL 加密后,使用客户端连接云数据库时需要配置 SSL CA 证书。将下载的 CA 证书部署到应用服务器后,按以下示例配置客户端使用 SSL 连接数据库。其它应用或者客户端请参见对应产品的使用说明。
说明:
TDSQL Boundless 每开启或关闭一次 SSL 加密,其证书都会重新生成,需重新下载和加载新的证书文件。
1. 打开 Navicat。
2. 在目标数据库连接上单击鼠标右键,选择编辑连接。
3. 在弹出的连接编辑窗口中选择 SSL 页签,勾选使用身份验证,并在 CA 证书项中选择已下载的证书文件路径。
4. 单击确定保存配置。
5. 双击该数据库连接,验证是否可正常连接。
说明:
如果出现
connection is being used 报错,通常是已有会话未断开,关闭 Navicat 后重试即可。
关闭 SSL 加密
注意:
关闭 SSL 加密后无需重启实例,操作即时生效。客户端到数据库的连接将不再使用 SSL 加密,链路传输安全性会降低;同时,使用强制 SSL 模式(例如
--ssl-mode=REQUIRED)的客户端将无法连接。请确认对业务无影响后再执行此操作。1. 登录 TDSQL Boundless 控制台,进入目标实例的数据安全页签。
2. 在 SSL 区域,单击状态右侧的关闭。
3. 在弹出的确认窗口中确认信息后,单击关闭。
关闭完成后,状态变为未开启。
使用 MySQL 命令行客户端连接开启 SSL 加密的实例
1. 通过 TDSQL Boundless 控制台下载 SSL CA 证书,操作请参见 开启 SSL 加密。
2. 使用 MySQL 命令行客户端,通过命令连接开启 SSL 加密的实例。
客户端数据库版本为 MySQL 8.0 时的命令,通过如下命令连接实例。
mysql -h <IP 地址> --ssl-ca=<ca证书> --ssl-mode=REQUIRED -P <端口号> -u <用户名> -p
如果要使用其他的 SSL 模式,例如
VERIFY_CA 或 VERIFY_IDENTITY,则需要通过如下命令连接实例。mysql -h <IP 地址> --ssl-ca=<ca证书> --ssl-mode=VERIFY_CA -P <端口号> -u <用户名> -p
说明:
--ssl-mode 参数表示 SSL 模式,通常情况下,推荐使用 REQUIRED 和 VERIFY_CA 模式,表示要求 MySQL 客户端使用 SSL/TLS 协议连接 MySQL 服务器,并要求验证 MySQL 服务器的 SSL/TLS 证书;而 VERIFY_IDENTITY 模式除了要求验证 MySQL 服务器的 SSL/TLS 证书,还要求客户端使用的主机名与服务器证书中的标识相匹配,否则 MySQL 客户端会拒绝连接 MySQL 服务器。3. 根据系统提示输入对应用户名的密码。
常用程序连接开启 SSL 加密的实例的代码示例
PHP
$conn = mysqli_init();mysqli_ssl_set($conn,NULL,NULL, "<下载的证书路径>", NULL, NULL);mysqli_real_connect($conn, '<数据库访问地址>', '<数据库访问用户名>', '<数据库访问密码>', '<指定访问数据库>', <访问端口>, MYSQLI_CLIENT_SSL | MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);if (mysqli_connect_errno($conn)) {die('Failed to connect to MySQL: '.mysqli_connect_error());}
PHP (Using PDO)
$options = array(PDO::MYSQL_ATTR_SSL_CA => '<下载的证书路径>');$db = new PDO('mysql:host=<数据库访问地址>;port=<访问端口>;dbname=<指定访问数据库>', '<数据库访问用户名>', '<数据库访问密码>', $options);
Java (MySQL Connector for Java)
# generate truststore and keystore in codeString importCert = " -import "+" -alias mysqlServerCACert "+" -file " + ssl_ca +" -keystore truststore "+" -trustcacerts " +" -storepass password -noprompt ";String genKey = " -genkey -keyalg rsa " +" -alias mysqlClientCertificate -keystore keystore " +" -storepass password123 -keypass password " +" -dname CN=MS ";sun.security.tools.keytool.Main.main(importCert.trim().split("\\\\s+"));sun.security.tools.keytool.Main.main(genKey.trim().split("\\\\s+"));# use the generated keystore and truststoreSystem.setProperty("javax.net.ssl.keyStore","<下载的证书路径>");System.setProperty("javax.net.ssl.keyStorePassword","tencentdb");System.setProperty("javax.net.ssl.trustStore","<下载的证书路径>");System.setProperty("javax.net.ssl.trustStorePassword","tencentdb");url = String.format("jdbc:mysql://%s/%s?serverTimezone=UTC&useSSL=true", '<数据库访问地址>', '<指定访问数据库>');properties.setProperty("user", '<数据库访问用户名>');properties.setProperty("password", '<数据库访问密码>');conn = DriverManager.getConnection(url, properties);
.NET (MySqlConnector)
var builder = new MySqlConnectionStringBuilder{Server = "<数据库访问地址>",UserID = "<数据库访问用户名>",Password = "<数据库访问密码>",Database = "<指定访问数据库>",SslMode = MySqlSslMode.VerifyCA,SslCa = "<下载的证书>",};using (var connection = new MySqlConnection(builder.ConnectionString)){connection.Open();}
Python (MySQLConnector Python)
try:conn = mysql.connector.connect(user='<数据库访问用户名>',password='<数据库访问密码>',database='<指定访问数据库>',host='<数据库访问地址>',ssl_ca='<下载的证书路径>')except mysql.connector.Error as err:print(err)
Python (PyMySQL)
conn = pymysql.connect(user='<数据库访问用户名>',password='<数据库访问密码>',database='<指定访问数据库>',host='<数据库访问地址>',ssl={'ca': '<下载的证书路径>'})
Django (PyMySQL)
DATABASES = {'default': {'ENGINE': 'django.db.backends.mysql','NAME': '<指定访问数据库>','USER': '<数据库访问用户名>','PASSWORD': '<数据库访问密码>','HOST': '<数据库访问地址>','PORT': '<访问端口>','OPTIONS': {'ssl': {'ca': '<下载的证书路径>'}}}}
Node.js
var fs = require('fs');var mysql = require('mysql');const serverCa = [fs.readFileSync("<下载的证书路径>", "utf8")];var conn=mysql.createConnection({host:"<数据库访问地址>",user:"<数据库访问用户名>",password:"<数据库访问密码>",database:"<指定访问数据库>",port:<访问端口>,ssl: {rejectUnauthorized: true,ca: serverCa}});conn.connect(function(err) {if (err) throw err;});
Golang
rootCertPool := x509.NewCertPool()pem, _ := ioutil.ReadFile("<下载的证书路径>")if ok := rootCertPool.AppendCertsFromPEM(pem); !ok {log.Fatal("Failed to append PEM.")}mysql.RegisterTLSConfig("custom", &tls.Config{RootCAs: rootCertPool})var connectionString stringconnectionString = fmt.Sprintf("%s:%s@tcp(%s:<访问端口>)/%s?allowNativePasswords=true&tls=custom","<数据库访问用户名>" , "<数据库访问密码>", "<数据库访问地址>", '<指定访问数据库>')db, _ := sql.Open("mysql", connectionString)
Ruby
client = Mysql2::Client.new(:host => '<数据库访问地址>',:username => '<数据库访问用户名>',:password => '<数据库访问密码>',:database => '<指定访问数据库>',:sslca => '<下载的证书路径>')
文档反馈