概述

为提升数据传输的安全性，GaiaDB 支持启用 SSL（Secure Sockets Layer）加密，并允许您将 SSL CA 证书安装到业务需要的客户端或应用服务中。

SSL 3.0 已由国际互联网工程任务组（IETF）标准化并更名为 TLS（Transport Layer Security）。由于“SSL”更为普遍使用，本文中的“SSL 加密”均指 TLS 加密。

功能介绍

SSL 加密功能可以对 GaiaDB 与客户端之间传输的数据进行加密，防止第三方监听、截获或篡改通信内容。 启用 SSL 后：

• 客户端连接 GaiaDB 时，可选择 加密连接 或 非加密连接。
• GaiaDB 会自动生成服务器证书及公私钥对。

• 建立加密连接过程中：

  • GaiaDB 会将服务器证书（包含公钥）发送给客户端。
  • 客户端使用 GaiaDB 公钥加密其生成的对称密钥。
  • 只有 GaiaDB 持有对应私钥，才能解密该对称密钥。
  • 双方随后使用对称密钥对通信数据进行加解密，确保机密性。
• 客户端可通过 CA 证书验证服务器证书的合法性，以确认 GaiaDB 身份，防止中间人攻击。

影响

• 证书有效期为 1 年，需及时更新并重新下载 CA 证书，否则可能导致连接失败。
• 启用 SSL 加密会增强安全性，但会对 GaiaDB 的性能产生一定影响。
• 开启、关闭 SSL 或更新证书有效期将触发集群重启，建议在业务低峰期进行。
• 当受保护地址发生变更时，SSL 证书会自动更新，并触发集群重启，请谨慎操作。
• 若客户端尚未完成 SSL 证书配置，建议先完成证书部署，以避免业务中断。

开启 SSL 加密和下载证书

1. 登录 GaiaDB管理控制台。
2. 在控制台页面左上角，选择集群所在地域，进入 云原生数据库GaiaDB列表。
3. 找到目标集群，点击 集群名 进入详情页面。
4. 在左侧导航栏选择 安全管理 > SSL。
5. 为目标地址打开 SSL 安全访问 功能，状态更新需要数分钟。
6. 开启成功，页面将显示受保护地址及服务端证书有效期。
7. 单击 下载 CA 证书 获取证书文件。

更新证书有效期

1. 登录 GaiaDB管理控制台。
2. 在控制台页面左上角，选择集群所在地域，进入 云原生数据库GaiaDB列表。
3. 找到目标集群，点击 集群名 进入详情页面。
4. 在左侧导航栏选择 安全管理 > SSL。
5. 为目标地址点击 更新有效期。
6. 确认弹出对话框的提示后执行更新。
7. 更新后，请 重新下载并配置 最新的 CA 证书。

配置 CA 证书

启用 SSL 加密后，客户端需正确配置 CA 证书才能建立加密连接，本文以 MySQL Workbench 为例，介绍SSL CA证书的配置方法。

1. 打开 MySQL Workbench。
2. 选择 Database > Manage Connections。
3. 在 SSL 选项卡，导入 SSL CA 证书文件。