设置 SSL 加密

为提高链路的安全性，Redis 提供了 SSL（Secure Sockets Layer）加密服务。本文介绍如何在 Redis 控制台上设置 SSL 加密。

背景信息

SSL 加密功能在传输层对网络连接进行加密，在提升通信数据安全性的同时，保证数据的完整性。

注意事项

• 由于开通 SSL 加密会增加 Redis 服务的网络响应时间，建议仅在有加密需求时才开通SSL加密（例如通过公网连接 Redis 实例时）。
• 开启 SSL 加密后，若需要使用 Redis-cli 客户端连接实例，那么：
  • Redis-cli 6 以下版本的客户端不支持连接时验证证书，请使用 Redis-cli 6 或以上版本的客户端。
  • 连接实例前，需要执行先 make BUILD_TLS=yes 命令编译 Redis-cli 客户端文件。通过 Redis-cli 连接实例的具体方法，请参见通过 Redis-cli 连接实例。

• SSL 证书默认有效期为 1 年，请及时更新证书有效期并重新下载和配置 CA 证书，否则使用加密连接的客户端程序将无法正常连接。

操作步骤

1. 登录 Redis 控制台。
2. 在顶部菜单栏的左上角，选择实例所属的项目和地域。
3. 在实例列表页，单击目标实例名称。
4. 在实例详情页，单击数据安全页签。
5. 在数据安全页签下， 单击 SSL 页签。
6. 在 SSL 页签下，您可以根据业务需要执行对应操作。

   支持的操作	说明
   开通 SSL 加密	打开 SSL 证书右侧的功能开关即可。 开通后，SSL证书有效性状态会变为有效，表示 SSL 加密功能已开通。 说明 开通 SSL 加密后，客户端必须使用 SSL 证书并通过 SSL 的方式连接 Redis 实例。具体操作步骤，请参见客户端使用 SSL 加密连接 Redis。
   关闭 SSL 加密	关闭 SSL 证书右侧的功能开关即可。 关闭后，SSL证书有效性等信息会不再展示，表示 SSL 加密功能已关闭。 说明 如需使用非 SSL 的方式连接 Redis 实例，必须先关闭 SSL 加密。非 SSL 方式连接实例的具体操作步骤，请参见连接实例。
   更新 SSL 证书有效期	开通 SSL 加密后，您可以通过 SSL证书有效性状态是否为有效，以及 SSL证书有效期来判断当前 SSL 证书是否在有效期内。您可以通过如下步骤更新证书有效期： 单击更新证书。 在弹出的对话框中，单击确定。 说明 证书有效期为 1 年，您可以随时更新证书，更新后，证书将重新获取 1 年有效期。 建议您在 SSL 证书到期前及时更新 SSL 证书的有效期，并重新下载和配置 CA 证书，否则使用加密连接的客户端程序将无法正常连接。
   修改 TLS 最低版本	单击 TLS最低版本后的图标。 在弹出的对话框中，从 TLS最低版本下拉框中选择目标 TLS 版本。 Redis 当前支持 3 种 TLS 版本：1.2、1.1 和 1.0。
   下载 SSL CA 证书	单击下载CA证书，即可将 SSL CA 证书下载至本地。 下载的文件为 ZIP 压缩包，包含如下三个文件： <实例 ID>_ca_certificate.p7b：用于 Windows 系统中导入 CA 证书。 <实例 ID>_ca_certificate.pem：用于其他系统（如 Linux）或应用中导入 CA 证书。 <实例 ID>_ca_certificate.jks：Java 中的 truststore 证书存储文件，用于 Java 程序中导入 CA 证书。 说明 SSL 加密功能开通后，您可下载 SSL CA 证书，用于在客户端访问 Redis 实例时，指定 SSL 参数和对应的证书进行访问。具体操作步骤，请参见客户端使用 SSL 加密连接 Redis。