PolarDB PostgreSQL版集群开启SSL加密和下载证书

为了提高链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。

操作步骤

1. 登录PolarDB管理控制台。
2. 在页面左上角，选择集群所在地域。
3. 找到目标集群，单击集群ID。
4. 在左侧菜单栏中单击配置与管理 > 安全管理。
5. 在SSL配置页签，单击SSL状态右侧滑块，开启SSL加密。

PolarDB PostgreSQL版的集群仅支持为主地址配置SSL。

6. 在设置SSL对话框中，单击确定。
7. SSL状态变为已开通后，单击下载证书。
   下载的文件为压缩包，包含如下三个文件：

• p7b文件：用于Windows系统中导入CA证书。
• pem文件：用于其他系统或应用中导入CA证书。
• jks文件：Java中的truststore证书存储文件，密码统一为apsaradb，用于Java程序中导入CA证书链。

  在Java中使用JKS证书文件时，jdk7和jdk8需要修改默认的jdk安全配置，在连接PolarDB数据库的服务器的jre/lib/security/java.security文件中，修改如下两项配置：

  jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224
  jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
  

  若不修改jdk安全配置，会报如下错误。其它类似报错，一般也都由Java安全配置导致。

  javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints