リンクセキュリティを強化するため、SSL (Secure Sockets Layer) を有効にして、必要なアプリケーション用の SSL 証明書をインストールします。 SSL はトランスポート層でネットワーク接続を暗号化するために使用されます。 通信データのセキュリティと整合性が向上しますが、ネットワーク接続時間も長くなります。

  • SSL 暗号化には固有の難点があるため、この機能を有効にすると CPU 使用量が大幅に増加します。 暗号化を必要とするインターネット接続にのみ暗号化を有効にすることを推奨します。 イントラネット接続は比較的に安全であり、一般的にリンクの暗号化を必要としません。
  • さらに、SSL 暗号化は一度有効にすると無効にすることはできません。 したがって、SSL 暗号化を有効にする際はご注意ください。

SSL 暗号化の有効化

  1. RDS コンソールにログインします。
  2. 対象インスタンスのリージョンを選択します。
  3. 対象インスタンスの ID をクリックして、[基本情報] ページに移動します。
  4. 左側のナビゲーションウィンドウで、[セキュリティ] をクリックし、[セキュリティ] ページを開きます。
  5. [SSL] タブをクリックします。
  6. 次の図に示すとおり、[無効] の横にあるボタンをクリックします。


  7. 次の図に示すとおり、[SSL 設定] ダイアログボックスで SSL 暗号化を有効にするリンクを選択し、[OK] をクリックして SSL 暗号化を有効にします。
    インターネットまたはイントラネットリンクのどちらも選択できますが、暗号化できるリンクは 1 つだけです。


  8. 次の図に示すとおり、[CA 証明書のダウンロード] をクリックし、SSL 証明書をダウンロードします。


    ダウンロードされた SSL 証明書は、次のファイルを含むパッケージです。

    • p7b ファイル: Windows OS で CA 証明書をインポートするために使用します。
    • PEM ファイル: 他のシステムまたはアプリケーションで CA 証明書をインポートするために使用します。
    • JKS ファイル: Java プログラムで CA 証明書チェーンをインポートするために使用する Java トラストストア証明書ファイルです。 パスワードは、「apsaradb」 です。
      Java で JKS 証明書ファイルを使用する場合は、jdk7 と jdk8 のデフォルトの jdk セキュリティ設定を変更する必要があります。SSL を介してアクセスするデータベースを実行するマシンの jre / lib / security / java.security ファイルで、次の設定を変更します。 
      jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
      JDK セキュリティ構成を変更しないと、次のエラーが報告されます。 他の同様のエラーは、一般的に Java セキュリティ構成によって生成されます。 
      javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm
            constraints

SSL CA 証明書を構成します。

SSL 暗号化を有効にした後、RDS へアクセスするアプリケーションまたはクライアント用の SSL CA 証明書を設定する必要があります。 以下に、MySQL Workbench を例に SSL CA 証明書をインストールする方法を説明します。 他のアプリケーションやクライアントを使用する場合は、それぞれの使用方法をご参照ください。

  1. MySQL Workbench を開きます。
  2. [データベース] > [接続管理]の順に選択します 。
  3. 次の図に示すとおり、[SSL の使用] を有効にして、SSL CA 証明書をインポートします。