Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memperbarui aplikasi untuk terhubung ke klaster DB Aurora MySQL menggunakan sertifikat TLS baru
Sejak 13 Januari 2023, Amazon RDS telah menerbitkan serifikat Otoritas Sertifikat (CA) baru untuk terhubung ke klaster DB Aurora menggunakan Keamanan Lapisan Pengangkutan (TLS). Setelah itu, Anda dapat menemukan informasi tentang pembaruan aplikasi untuk menggunakan sertifikat baru.
Topik ini dapat membantu Anda menentukan apakah aplikasi klien menggunakan TLS untuk terhubung ke klaster DB Anda. Jika demikian, Anda dapat memeriksa lebih lanjut apakah aplikasi tersebut memerlukan verifikasi sertifikat untuk terhubung.
catatan
Beberapa aplikasi dikonfigurasi untuk terhubung ke klaster DB Aurora MySQL hanya jika aplikasi tersebut berhasil memverifikasi sertifikat pada server.
Untuk aplikasi tersebut, Anda harus memperbarui penyimpanan kepercayaan aplikasi klien untuk menyertakan sertifikat CA baru.
Setelah memperbarui sertifikat CA di penyimpanan kepercayaan aplikasi klien, Anda dapat merotasi sertifikat di klaster DB Anda. Sebaiknya Anda menguji prosedur ini di lingkungan pengembangan dan penahapan sebelum menerapkannya di lingkungan produksi Anda.
Untuk informasi selengkapnya tentang rotasi sertifikat, lihat Memutar sertifikat SSL TLS /Anda. Untuk informasi selengkapnya tentang cara mengunduh sertifikat, lihat MenggunakanSSL/TLSuntuk mengenkripsi koneksi ke . Untuk informasi tetang cara menggunakan TLS dengan klaster DB Aurora MySQL, lihat TLSkoneksi ke cluster Aurora My DB SQL.
Topik
Menentukan apakah ada aplikasi yang tersambung ke klaster DB Aurora MySQL menggunakan TLS
Jika Anda menggunakan Aurora MySQL versi 2 (kompatibel dengan MySQL 5.7) dan Skema Performa diaktifkan, jalankan kueri berikut untuk memeriksa apakah koneksi menggunakan TLS. Untuk informasi tentang cara mengaktifkan Skema Performa, lihat Memulai cepat Skema Performa
mysql> SELECT id, user, host, connection_type FROM performance_schema.threads pst INNER JOIN information_schema.processlist isp ON pst.processlist_id = isp.id;
Dalam output contoh ini, Anda dapat melihat sesi Anda sendiri (admin) dan aplikasi yang masuk sebagai webapp1 menggunakan TLS.
+----+-----------------+------------------+-----------------+ | id | user | host | connection_type | +----+-----------------+------------------+-----------------+ | 8 | admin | 10.0.4.249:42590 | SSL/TLS | | 4 | event_scheduler | localhost | NULL | | 10 | webapp1 | 159.28.1.1:42189 | SSL/TLS | +----+-----------------+------------------+-----------------+ 3 rows in set (0.00 sec)
Menentukan apakah klien memerlukan verifikasi sertifikat untuk terhubung
Anda dapat memeriksa apakah klien JDBC dan klien MySQL memerlukan verifikasi sertifikat untuk terhubung.
JDBC
Contoh MySQL Connector/J 8.0 berikut menunjukkan satu cara untuk memeriksa properti koneksi JDBC aplikasi untuk menentukan apakah koneksi yang berhasil memerlukan sertifikat yang valid. Untuk informasi selengkapnya tentang semua opsi koneksi JDBC untuk MySQL, lihat Properti konfigurasi
Saat menggunakan MySQL Connector/J 8.0, koneksi TLS memerlukan verifikasi terhadap sertifikat CA server jika properti koneksi Anda memiliki sslMode yang diatur ke VERIFY_CA atau VERIFY_IDENTITY, seperti pada contoh berikut.
Properties properties = new Properties(); properties.setProperty("sslMode", "VERIFY_IDENTITY"); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD);
catatan
Jika Anda menggunakan MySQL Java Connector v5.1.38 atau yang lebih baru, atau MySQL Java Connector v8.0.9 atau yang lebih baru untuk terhubung ke basis data Anda, meski Anda belum mengonfigurasi aplikasi secara ekplisit untuk menggunakan TLS saat terhubung ke basis data Anda, driver klien ini akan menggunakan TLS secara default. Selain itu, saat menggunakan TLS, aplikasi akan melakukan verifikasi sertifikat parsial dan gagal terhubung jika sertifikat server basis data kedaluwarsa.
MySQL
Contoh Klien MySQL berikut menunjukkan dua cara untuk memeriksa koneksi MySQL skrip untuk menentukan apakah koneksi yang berhasil memerlukan sertifikat yang valid. Untuk informasi selengkapnya tentang semua opsi koneksi dengan Klien MySQL, lihat Konfigurasi sisi klien untuk koneksi terenkripsi
Saat menggunakan Klien MySQL 5.7 atau MySQL 8.0, koneksi TLS memerlukan verifikasi terhadap sertifikat CA server jika, untuk opsi --ssl-mode, Anda menentukan VERIFY_CA atau VERIFY_IDENTITY, seperti pada contoh berikut.
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem--ssl-mode=VERIFY_CA
Saat menggunakan Klien MySQL 5.6, koneksi SSL memerlukan verifikasi terhadap sertifikat CA server jika Anda menentukan opsi --ssl-verify-server-cert, seperti pada contoh berikut.
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem--ssl-verify-server-cert
Memperbarui penyimpanan kepercayaan aplikasi Anda
Untuk informasi tentang cara memperbarui penyimpanan kepercayaan untuk aplikasi MySQL, lihat Menginstal sertifikat SSL
catatan
Saat memperbarui penyimpanan kepercayaan, Anda dapat mempertahankan sertifikat lama selain menambahkan sertifikat baru.
Memperbarui penyimpanan kepercayaan aplikasi Anda untuk JDBC
Anda dapat memperbarui penyimpanan kepercayaan untuk aplikasi yang menggunakan JDBC untuk koneksi TLS.
Untuk informasi tentang cara mengunduh sertifikat root, lihat MenggunakanSSL/TLSuntuk mengenkripsi koneksi ke .
Untuk contoh skrip yang mengimpor sertifikat, lihat Contoh skrip untuk mengimpor sertifikat ke trust store Anda.
Jika Anda menggunakan driver JDBC mysql dalam aplikasi, atur properti berikut dalam aplikasi.
System.setProperty("javax.net.ssl.trustStore",certs); System.setProperty("javax.net.ssl.trustStorePassword", "password");
catatan
Tentukan kata sandi selain perintah yang ditampilkan di sini sebagai praktik keamanan terbaik.
Saat Anda memulai aplikasi, atur properti berikut.
java -Djavax.net.ssl.trustStore=/path_to_truststore/MyTruststore.jks-Djavax.net.ssl.trustStorePassword=my_truststore_passwordcom.companyName.MyApplication
Contoh kode Java untuk membangun koneksi TLS
Contoh kode berikut menunjukkan cara menyiapkan koneksi SSL yang memvalidasi sertifikat server menggunakan JDBC.
public class MySQLSSLTest { private static final String DB_USER = "user name"; private static final String DB_PASSWORD = "password"; // This key store has only the prod root ca. private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore"; private static final String KEY_STORE_PASS = "keystore-password"; public static void test(String[] args) throws Exception { Class.forName("com.mysql.jdbc.Driver"); System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH); System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS); Properties properties = new Properties(); properties.setProperty("sslMode", "VERIFY_IDENTITY"); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD); Connection connection = DriverManager.getConnection("jdbc:mysql://jagdeeps-ssl-test.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306",properties); Statement stmt=connection.createStatement(); ResultSet rs=stmt.executeQuery("SELECT 1 from dual"); return; } }
penting
Setelah Anda menentukan bahwa koneksi database Anda menggunakan TLS dan telah memperbarui toko kepercayaan aplikasi Anda, Anda dapat memperbarui database Anda untuk menggunakan sertifikat rds-ca-rsa 2048-g1. Untuk petunjuk, lihat langkah 3 dalam Memperbarui sertifikat CA Anda dengan memodifikasi instans cluster DB.
