概述

为了提高链路安全性，您可以启用 SSL（Secure Sockets Layer）加密，并安装 SSL CA证书到需要的应用服务。SSL 在传输层对网络连接进行加密，将保证数据在传输过程中的安全性和完整性，减少您对数据传输安全性的顾虑，但 SSL 加密协议会增加网络连接的响应时间及云数据库 RDS 的负载。

功能介绍

SSL加密功能可以对RDS MySQL和客户端之间传输的数据进行加密，防止数据被第三方监听、截取和篡改。

开启SSL加密后，客户端连接RDS MySQL时，可以选择进行加密连接或者非加密连接。

开启SSL加密时，RDS MySQL将生成服务器证书以及公私钥。

在加密连接的建立过程中，RDS MySQL会发送服务器证书（包含公钥）给客户端，客户端用收到的公钥加密生成的对称密钥，只有RDS MySQL有私钥能够解密该对称密钥，RDS MySQL和客户端将使用该对称密钥对通信数据进行加密和解密，从而保证通信的机密性。客户端还可以使用CA证书验证收到的服务器证书以确认RDS MySQL身份，防止中间人攻击。

前提条件

• SSL 加密服务只适用于云数据库 RDS for MySQL 5.7/8.0 的双机高可用版RDS实例。

影响

• 开启或关闭 SSL 设置都会重启实例，RDS服务会出现实例切换，建议在业务低峰期操作，并确保您的应用有自动重连机制。
• 开启SSL加密后，建立加密连接会显著增加CPU使用率。建议您仅在外网链路有加密需求的时候采用SSL加密，内网链路相对较安全，一般无需对链路加密。

开启/关闭 SSL 加密

1. 登录 RDS 管理控制台。
2. 在控制台页面的左上角，选择实例所在地域，进入“云数据库 RDS列表”页面。
3. 找到目标实例，点击实例名称进入实例详情页面。
4. 在左侧导航栏中选择安全管理栏，进入“安全管理”页面。
5. 选择SSL。
6. 在“SSL 设置”中打开/关闭“SSL 安全访问”滑块，状态变更需要几分钟时间。
7. 开启成功，则显示受保护地址、服务端证书生效期和有效期等信息。
8. 您可单击上图页面下方的“CA 证书下载”，下载 SSL CA 证书。

配置 CA 证书

开通SSL加密后，应用或者客户端连接云数据库 RDS 时需要配置 SSL CA证书，本文以 MySQL Workbench 为例，介绍SSL CA证书的配置方法。

1. 打开 MySQL Workbench,
2. 选择 Database>Manage Connections...

3. 点击 SSL 选项卡，导入 SSL CA 证书，如下图所示。