リンクセキュリティを強化するため、SSL (Secure Sockets Layer) を有効にして、必要なアプリケーション用の SSL 証明書をインストールします。 SSL はトランスポート層でネットワーク接続を暗号化するために使用されます。 通信データのセキュリティと整合性が向上しますが、ネットワーク接続時間も長くなります。
注
- SSL 暗号化には固有の難点があるため、この機能を有効にすると CPU 使用量が大幅に増加します。 暗号化を必要とするインターネット接続にのみ暗号化を有効にすることを推奨します。 イントラネット接続は比較的に安全であり、一般的にリンクの暗号化を必要としません。
- さらに、SSL 暗号化は一度有効にすると無効にすることはできません。 したがって、SSL 暗号化を有効にする際はご注意ください。
SSL 暗号化の有効化
- RDS コンソールにログインします。
- 対象インスタンスのリージョンを選択します。
- 対象インスタンスの ID をクリックして、[基本情報] ページに移動します。
- 左側のナビゲーションウィンドウで、[セキュリティ] をクリックし、[セキュリティ] ページを開きます。
- [SSL] タブをクリックします。
- 次の図に示すとおり、[無効] の横にあるボタンをクリックします。
- 次の図に示すとおり、[SSL 設定] ダイアログボックスで SSL 暗号化を有効にするリンクを選択し、[OK] をクリックして SSL 暗号化を有効にします。
注 インターネットまたはイントラネットリンクのどちらも選択できますが、暗号化できるリンクは 1 つだけです。
- 次の図に示すとおり、[CA 証明書のダウンロード] をクリックし、SSL 証明書をダウンロードします。
ダウンロードされた SSL 証明書は、次のファイルを含むパッケージです。
- p7b ファイル: Windows OS で CA 証明書をインポートするために使用します。
- PEM ファイル: 他のシステムまたはアプリケーションで CA 証明書をインポートするために使用します。
- JKS ファイル: Java プログラムで CA 証明書チェーンをインポートするために使用する Java トラストストア証明書ファイルです。 パスワードは、「apsaradb」
です。
注 Java で JKS 証明書ファイルを使用する場合は、jdk7 と jdk8 のデフォルトの jdk セキュリティ設定を変更する必要があります。SSL を介してアクセスするデータベースを実行するマシンの
jre / lib / security / java.security
ファイルで、次の設定を変更します。jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
JDK セキュリティ構成を変更しないと、次のエラーが報告されます。 他の同様のエラーは、一般的に Java セキュリティ構成によって生成されます。javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
SSL CA 証明書を構成します。
SSL 暗号化を有効にした後、RDS へアクセスするアプリケーションまたはクライアント用の SSL CA 証明書を設定する必要があります。 以下に、MySQL Workbench を例に SSL CA 証明書をインストールする方法を説明します。 他のアプリケーションやクライアントを使用する場合は、それぞれの使用方法をご参照ください。
- MySQL Workbench を開きます。
- の順に選択します 。
- 次の図に示すとおり、[SSL の使用] を有効にして、SSL CA 証明書をインポートします。