Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz durch Verschlüsselung
Sie können die Verschlüsselung für Datenbankressourcen aktivieren. Sie können auch Verbindungen zu DB-Instances verschlüsseln.
**Topics**
+ [Verschlüsseln von Amazon RDS-Ressourcen](Overview.Encryption.md)
+ [AWS KMS key Verwaltung](Overview.Encryption.Keys.md)
+ [](UsingWithRDS.SSL.md)
+ [Ihr SSL/TLS Zertifikat rotieren](UsingWithRDS.SSL-certificate-rotation.md)
# Verschlüsseln von Amazon RDS-Ressourcen
Amazon RDS kann Ihre Amazon-RDS-DB-Instances verschlüsseln. Zu den Daten, die im Ruhezustand verschlüsselt werden, gehören der zugrunde liegende Speicher für DB-Instances, die zugehörigen Protokolle, automatische Backups, Read Replicas und Snapshots.
Amazon RDS-verschlüsselte DB-Instances verwenden den Industriestandard-Verschlüsselungsalgorithmus AES-256, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-DB-Instances hostet.
Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.
**Anmerkung**
Bei verschlüsselten und unverschlüsselten werden Daten, die zwischen der Quelle und den gelesenen Repliken übertragen werden, verschlüsselt, auch wenn sie regionsübergreifend repliziert werden. AWS
**Topics**
+ [Übersicht über die Verschlüsselung von Amazon-RDS-Ressourcen](#Overview.Encryption.Overview)
+ [Verschlüsseln einer DB-Instance](#Overview.Encryption.Enabling)
+ [Bestimmen, ob die Verschlüsselung für eine DB-Instance aktiviert ist](#Overview.Encryption.Determining)
+ [Verfügbarkeit der Amazon RDS-Verschlüsselung](#Overview.Encryption.Availability)
+ [Verschlüsselung während der Übertragung](#Overview.Encryption.InTransit)
+ [Einschränkungen von Amazon RDS-verschlüsselten DB-Instances](#Overview.Encryption.Limitations)
## Übersicht über die Verschlüsselung von Amazon-RDS-Ressourcen
Amazon-RDS-verschlüsselte DB-Instances bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können die Amazon-RDS-Verschlüsselung verwenden, um den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen zu erhöhen und die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen. Für eine Amazon-RDS-verschlüsselte DB-Instance werden alle Protokolle, Backups und Snapshots verschlüsselt. Weitere Informationen zur Verfügbarkeit und zu den Einschränkungen der Verschlüsselung finden Sie unter [Verfügbarkeit der Amazon RDS-Verschlüsselung](#Overview.Encryption.Availability) und [Einschränkungen von Amazon RDS-verschlüsselten DB-Instances](#Overview.Encryption.Limitations).
Amazon RDS verwendet einen AWS Key Management Service Schlüssel, um diese Ressourcen zu verschlüsseln. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Sie können einen Von AWS verwalteter Schlüssel verwenden oder vom Kunden verwaltete Schlüssel erstellen.
Wenn Sie eine verschlüsselte DB-Instance erstellen, können Sie einen vom Kunden verwalteten Schlüssel oder den Von AWS verwalteter Schlüssel für Amazon RDS wählen, um Ihre DB-Instance zu verschlüsseln. Wenn Sie die Schlüssel-ID für einen vom Kunden verwalteten Schlüssel nicht angeben, verwendet Amazon RDS die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon RDS erstellt eine Von AWS verwalteter Schlüssel für Amazon RDS für Ihr AWS Konto. Ihr AWS Konto hat Von AWS verwalteter Schlüssel für Amazon RDS für jede AWS Region ein anderes.
Zur Verwaltung der kundenseitig verwalteten Schlüssel, die zum Ver- und Entschlüsseln Ihrer Amazon-RDS-Ressourcen dienen, verwenden Sie die [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/).
Mithilfe von AWS KMS können Sie vom Kunden verwaltete Schlüssel erstellen und die Richtlinien definieren, die die Verwendung dieser vom Kunden verwalteten Schlüssel steuern. AWS KMS unterstützt CloudTrail, sodass Sie die Verwendung von KMS-Schlüsseln überprüfen können, um sicherzustellen, dass vom Kunden verwaltete Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre vom Kunden verwalteten Schlüssel mit Amazon Aurora und unterstützten AWS Diensten wie Amazon S3, Amazon EBS und Amazon Redshift verwenden. Eine Liste der Dienste, die integriert sind, finden Sie unter AWS KMS[AWS Serviceintegration](https://aws.amazon.com/kms/features/#AWS_Service_Integration). Einige Überlegungen zur Verwendung von KMS-Schlüsseln:
+ Sobald Sie eine verschlüsselte DB-Instance erstellt haben, können Sie den von dieser DB-Instance verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS-Schlüsselanforderungen bestimmen, bevor Sie Ihre verschlüsselte DB-Instance erstellen.
Wenn Sie den Verschlüsselungsschlüssel für Ihre DB-Instance ändern müssen, erstellen Sie einen manuellen Snapshot Ihrer Instance und aktivieren Sie die Verschlüsselung beim Kopieren des Snapshots. Weitere Informationen finden Sie im [re:Post-Knowledge-Artikel](https://repost.aws/knowledge-center/update-encryption-key-rds).
+ Wenn Sie einen verschlüsselten Snapshot kopieren, können Sie zum Verschlüsseln des Ziel-Snapshots einen anderen KMS-Schlüssel verwenden als den, der zum Verschlüsseln des Quell-Snapshots verwendet wurde.
+ Eine Read Replica einer Amazon RDS-verschlüsselten Instance muss mit demselben KMS-Schlüssel wie die primäre DB-Instance verschlüsselt werden, wenn sich beide in derselben AWS Region befinden.
+ Wenn sich die primäre DB-Instance und die Read Replica in unterschiedlichen AWS Regionen befinden, verschlüsseln Sie die Read Replica mit dem KMS-Schlüssel für diese Region. AWS
+ Sie können keinen Snapshot teilen, der mit dem Von AWS verwalteter Schlüssel des AWS Kontos verschlüsselt wurde, das den Snapshot geteilt hat.
+ Amazon RDS unterstützt auch die Verschlüsselung einer Oracle- oder SQL Server-DB-Instance mit Transparent Data Encryption (TDE). TDE kann mit RDS-Verschlüsselung im Ruhezustand verwendet werden, jedoch kann sich die gleichzeitige Verwendung von TDE und RDS-Verschlüsselung im Ruhezustand geringfügig auf die Leistung Ihrer Datenbank auswirken. Sie müssen verschiedene Schlüssel für jede Verschlüsselungsmethode verwalten. Weitere Informationen zu TDE finden Sie unter [Oracle Transparent Data Encryption](Appendix.Oracle.Options.AdvSecurity.md) oder [Unterstützung für transparente Datenverschlüsselung in SQL Server](Appendix.SQLServer.Options.TDE.md).
**Wichtig**
Amazon RDS verliert den Zugriff auf den KMS-Schlüssel für eine DB-Instance, wenn Sie den KMS-Schlüssel deaktivieren. Wenn Sie den Zugriff auf einen KMS-Schlüssel verlieren, wechselt die verschlüsselte DB-Instance 2 Stunden nach der Erkennung in den Status `inaccessible-encryption-credentials-recoverable`, sofern Sicherungen aktiviert sind. Die DB-Instance behält diesen Status sieben Tage lang bei und wird währenddessen angehalten. API-Aufrufe, die während dieser Zeit an die DB-Instance getätigt wurden, sind möglicherweise nicht erfolgreich. Um die DB-Instance wiederherzustellen, aktivieren Sie den KMS-Schlüssel und starten Sie diese DB-Instance neu. Aktivieren Sie den KMS-Schlüssel über die AWS-Managementkonsole AWS CLI, oder RDS-API. Starten Sie die DB-Instance mit dem AWS CLI Befehl [start-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/start-db-instance.html)oder neu AWS-Managementkonsole.
Der Status `inaccessible-encryption-credentials-recoverable` gilt nur für DB-Instances, die gestoppt werden können. Dieser wiederherstellbare Status gilt nicht für Instances, die nicht gestoppt werden können, wie Lesereplikate und Instances mit Lesereplikaten. Weitere Informationen finden Sie unter [Einschränkungen beim Stoppen Ihrer DB-Instance](USER_StopInstance.md#USER_StopInstance.Limitations).
Wenn die DB-Instance nicht innerhalb von sieben Tagen wiederhergestellt wird, wechselt sie in den Terminalstatus `inaccessible-encryption-credentials`. In diesem Status ist die DB-Instance nicht mehr nutzbar und kann nur über eine Sicherung wiederhergestellt werden. Wir empfehlen nachdrücklich, dass Sie zu jeder Zeit Backups für verschlüsselte DB-Instances aktivieren, um sich gegen den Datenverlust von verschlüsselten Daten in Ihren Datenbanken abzusichern.
Bei der Erstellung einer DB-Instance überprüft Amazon RDS, ob der aufrufende Prinzipal Zugriff auf den KMS-Schlüssel hat, und generiert aus dem KMS-Schlüssel eine Berechtigung, die für die gesamte Lebensdauer der DB-Instance verwendet wird. Das Widerrufen des Zugriffs des aufrufenden Prinzipals auf den KMS-Schlüssel hat keine Auswirkungen auf eine laufende Datenbank. Wenn KMS-Schlüssel in kontoübergreifenden Szenarien verwendet werden, z. B. beim Kopieren eines Snapshots in ein anderes Konto, muss der KMS-Schlüssel für das andere Konto freigegeben werden. Wenn Sie aus dem Snapshot eine DB-Instance erstellen, ohne einen anderen KMS-Schlüssel anzugeben, verwendet die neue Instance den KMS-Schlüssel aus dem Quellkonto. Das Widerrufen des Zugriffs auf den Schlüssel nach dem Erstellen der DB-Instance hat keine Auswirkungen auf die Instance. Die Deaktivierung des Schlüssels wirkt sich jedoch auf alle DB-Instances aus, die mit diesem Schlüssel verschlüsselt wurden. Um dies zu verhindern, geben Sie während des Snapshot-Kopiervorgangs einen anderen Schlüssel an.
DB-Instances mit deaktivierten Sicherungen bleiben verfügbar, bis die Volumes während einer Instance-Änderung oder -Wiederherstellung vom Host getrennt werden. RDS versetzt die Instances je nach Bedarf in den Status `inaccessible-encryption-credentials-recoverable` oder `inaccessible-encryption-credentials`.
Weitere Informationen über KMS-Schlüssel finden Sie unter [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) im *Entwicklerhandbuch zu AWS Key Management Service * und in [AWS KMS key Verwaltung](Overview.Encryption.Keys.md).
## Verschlüsseln einer DB-Instance
Wählen Sie **Enable encryption** (Verschlüsselung aktivieren) in der Amazon-RDS-Konsole aus, um eine neue DB-Instance zu verschlüsseln. Hinweise zum Erstellen einer DB-Instance finden Sie unter [Erstellen einer Amazon-RDS-DB-Instance](USER_CreateDBInstance.md).
Wenn Sie den [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI Befehl verwenden, um eine verschlüsselte DB-Instance zu erstellen, legen Sie den `--storage-encrypted` Parameter fest. Wenn Sie den Vorgang [Create DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) API verwenden, setzen Sie den `StorageEncrypted` Parameter auf true.
Wenn Sie den AWS CLI `create-db-instance` Befehl verwenden, um eine verschlüsselte DB-Instance mit einem vom Kunden verwalteten Schlüssel zu erstellen, legen Sie den `--kms-key-id` Parameter auf eine beliebige Schlüssel-ID für den KMS-Schlüssel fest. Wenn Sie den Vorgang Amazon RDS API `CreateDBInstance` verwenden, setzen Sie den Parameter `KmsKeyId` auf einen beliebigen Schlüsselbezeichner für den KMS-Schlüssel. Um einen vom Kunden verwalteten Schlüssel in einem anderen AWS Konto zu verwenden, geben Sie den Schlüssel-ARN oder den Alias-ARN an.
## Bestimmen, ob die Verschlüsselung für eine DB-Instance aktiviert ist
Sie können die AWS-Managementkonsole, oder RDS-API verwenden AWS CLI, um festzustellen, ob die Verschlüsselung im Ruhezustand für eine DB-Instance aktiviert ist.
### Konsole
**So ermitteln Sie, ob die Verschlüsselung im Ruhezustand für eine DB-Instance aktiviert ist**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie den Namen der DB-Instance aus, die Sie überprüfen möchten, um die Details anzuzeigen.
1. Wählen Sie die Registerkarte **Konfiguration** aus und überprüfen Sie den Wert für die **Verschlüsselung** unter **Speicher**.
Es zeigt entweder **Aktiviert** oder **Nicht aktiviert**.
![\[Überprüfen der -Verschlüsselung für eine DB-Instance\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/encryption-check-db-instance.png)
### AWS CLI
Rufen Sie den [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)Befehl mit der folgenden Option auf, um festzustellen AWS CLI, ob die Verschlüsselung im Ruhezustand für eine DB-Instance aktiviert ist:
+ `--db-instance-identifier` – der Name der DB-Instance
Im folgenden Beispiel wird eine Abfrage verwendet, um entweder `TRUE` oder `FALSE` bezüglich der Verschlüsselung im Ruhezustand für die `mydb` DB-Instance zurückzugeben.
**Example**
```
1. aws rds describe-db-instances --db-instance-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text
```
### RDS-API
Um mithilfe der Amazon RDS-API zu ermitteln, ob die Verschlüsselung im Ruhezustand für eine DB-Instance aktiviert ist, rufen Sie den DBInstances Vorgang [Describe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html) mit dem folgenden Parameter auf:
+ `DBInstanceIdentifier` – der Name der DB-Instance.
## Verfügbarkeit der Amazon RDS-Verschlüsselung
Die Amazon RDS-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.
Amazon-RDS-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. In der folgenden Tabelle sind die DB-Instance-Klassen aufgeführt, die Amazon-RDS-Verschlüsselung *nicht unterstützen*:
| Instance-Typ | Instance class |
| --- | --- |
| Allzweck (M1) | db.m1.small db.m1.medium db.m1.large db.m1.xlarge |
| Arbeitsspeicheroptimiert (M2) | db.m2.xlarge db.m2.2xlarge db.m2.4xlarge |
| Burstable (T2) | db.t2.micro |
## Verschlüsselung während der Übertragung
**Verschlüsselung auf der physischen Ebene**
Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Datenverkehr zwischen beiden AZs ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten möglicherweise zusätzlichen Schutz.
**Verschlüsselung durch Amazon VPC-Peering und regionsübergreifendes Transit Gateway Gateway-Peering**
Der gesamte regionsübergreifende Datenverkehr, der Amazon-VPC- und Transit-Gateway-Peering verwendet, wird automatisch massenverschlüsselt, wenn er eine Region verlässt. Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er gesicherte Einrichtungen verlässt. AWS
**Verschlüsselung zwischen Instanzen**
AWS bietet sichere und private Konnektivität zwischen DB-Instances aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet AEAD-Algorithmen (Authenticated Encryption with Associated Data) mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:
+ Die Instances verwenden die folgenden Instance-Typen:
+ **Allgemeiner Zweck**: M6i, M6id, M6in, M6idn, M7g
+ **Speicheroptimiert**: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn
+ Die Instances befinden sich in derselben AWS-Region.
+ Die Instances befinden sich in derselben VPC oder per Peering VPCs, und der Datenverkehr wird nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst wie einen Load Balancer oder ein Transit-Gateway geleitet.
## Einschränkungen von Amazon RDS-verschlüsselten DB-Instances
Folgende Einschränkungen bestehen für Amazon RDS-verschlüsselte DB-Instances:
+ Sie können eine Amazon-RDS-DB-Instance nur beim Erstellen verschlüsseln, nicht nachdem die DB-Instance bereits erstellt ist.
Da es jedoch möglich ist, die Kopie eines unverschlüsselten Snapshots zu verschlüsseln, können Sie quasi eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance. Weitere Informationen finden Sie unter [Kopieren eines DB-Snapshots für Amazon RDS](USER_CopySnapshot.md).
+ Sie können die Verschlüsselung für eine verschlüsselte DB-Instance nicht deaktivieren.
+ Sie können keinen verschlüsselten Snapshot einer unverschlüsselten DB-Instance erstellen.
+ Ein Snapshot eines verschlüsselten DB-Instance muss mit demselben KMS-Schlüssel verschlüsselt werden wie der DB-Instance.
+ Es ist nicht möglich, ein verschlüsseltes Lesereplikat einer unverschlüsselten DB-Instance oder ein unverschlüsseltes Lesereplikat einer verschlüsselten DB-Instance zu erstellen.
+ Verschlüsselte Lesereplikate müssen mit demselben KMS-Schlüssel verschlüsselt werden wie die Quell-DB-Instance, wenn sich beide in derselben AWS Region befinden.
+ Sie können ein unverschlüsseltes Backup oder einen solchen Snapshot nicht als verschlüsselte DB-Instance wiederherstellen.
+ Um einen verschlüsselten Snapshot von einer AWS Region in eine andere zu kopieren, müssen Sie den KMS-Schlüssel in der AWS Zielregion angeben. Dies liegt daran, dass KMS-Schlüssel für die AWS Region spezifisch sind, in der sie erstellt wurden.
Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon RDS verwendet Envelope-Verschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Sie können eine(n) verschlüsselte(n) DB-Instance nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Instance exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Instance importieren.
# AWS KMS key Verwaltung
Amazon RDS wird automatisch zur Schlüsselverwaltung in [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/) integriert. Amazon RDS verwendet eine Umschlagverschlüsselung. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service -Entwicklerhandbuch*.
Sie können zwei Arten von AWS KMS Schlüsseln verwenden, um Ihre zu verschlüsseln.
+ Wenn Sie die volle Kontrolle über einen KMS-Schlüssel haben möchten, müssen Sie einen *kundenseitig verwalteten Schlüssel* erstellen. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter [Kundenverwaltete ](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)Schlüssel im *AWS Key Management Service Developer Guide*.
+ *Von AWS verwaltete Schlüssel*sind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden. AWS KMS Standardmäßig wird der RDS- Von AWS verwalteter Schlüssel (`aws/rds`) für die Verschlüsselung verwendet. Sie können den RDS nicht verwalten, rotieren oder löschen Von AWS verwalteter Schlüssel. Weitere Informationen zu Von AWS verwaltete Schlüssel finden Sie [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)im *AWS Key Management Service Entwicklerhandbuch*.
Um KMS-Schlüssel zu verwalten, die für Amazon RDS verwendet werden, verwenden Sie [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/) in der [AWS KMS Konsole](https://console.aws.amazon.com/kms) AWS CLI, die oder die AWS KMS API. Verwenden Sie zur Anzeige von Audit-Protokollen für jede Aktion, die mit einem AWS -verwalteten oder kundenverwalteten Schlüssel durchgeführt wurde [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/). Weitere Informationen zum Rotieren der Schlüssel finden Sie unter [Rotieren von AWS KMS -Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
## Autorisieren der Verwendung eines kundenverwalteten Schlüssels
Wenn RDS einen kundenseitig verwalteten Schlüssel für kryptografische Vorgänge verwendet, handelt es im Namen des Benutzers, der die RDS-Ressource erstellt oder ändert.
Wenn Sie eine RDS-Ressource mit einem kundenseitig verwalteten Schlüssel erstellen möchten, müssen Sie über die Berechtigung verfügen, die folgenden Vorgänge für den kundenseitig verwalteten Schlüssel aufzurufen:
+ `kms:CreateGrant`
+ `kms:DescribeKey`
Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.
**Wichtig**
Wenn Sie explizite Deny-Statements für alle Ressourcen (\$1) in AWS KMS wichtigen Richtlinien mit verwalteten Services wie Amazon RDS verwenden, müssen Sie eine Bedingung angeben, um das Konto, das die Ressource besitzt, zuzulassen. Ohne diese Bedingung können Vorgänge fehlschlagen, auch wenn die Zugriffsverweigerungsregel Ausnahmen für Ihren IAM-Benutzer enthält.
**Tipp**
Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf `kms:CreateGrant` nicht zu. Verwenden Sie stattdessen den [ViaService Bedingungsschlüssel kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service), damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.
Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Wenn Sie beispielsweise zulassen möchten, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in RDS haben, verwenden Sie den [ kms:ViaService Bedingungsschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) mit dem `rds..amazonaws.com` Wert. Sie können auch die Schlüssel oder Werte im [Amazon-RDS-Verschlüsselungskontext](#Overview.Encryption.Keys.encryptioncontext) als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.
Weitere Informationen finden Sie unter [Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) im *AWS Key Management Service -Entwicklerhandbuch* und unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies).
## Amazon-RDS-Verschlüsselungskontext
Wenn RDS Ihren KMS-Schlüssel verwendet oder Amazon EBS den KMS-Schlüssel im Namen von RDS verwendet, gibt der Service einen [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) an. Der Verschlüsselungskontext besteht aus [zusätzlichen authentifizierten Daten](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD), die zur Sicherstellung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird zudem in Ihre [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)-Protokolle geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines KMS-Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.
Amazon RDS gibt als Verschlüsselungskontext immer mindestens die ID der DB-Instance an, wie im folgenden Beispiel im JSON-Format gezeigt:
```
{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
```
Anhand dieses Verschlüsselungskontexts können Sie herausfinden, für welche DB-Instance der KMS-Schlüssel verwendet wurde.
Wird Ihr KMS-Schlüssel für eine bestimmte DB-Instance und ein bestimmtes Amazon-EBS-Volume verwendet, werden die ID der DB-Instance und die ID des EBS-Volumes als Verschlüsselungskontext angegeben, wie im folgenden Beispiel im JSON-Format gezeigt:
```
{
"aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
"aws:ebs:id": "vol-ad8c6542"
}
```
#
Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einer Datenbank zu verschlüsseln, auf der Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL ausgeführt wird.
SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem Daten verschlüsselt werden, die zwischen Ihrem Client und einer DB-Instance oder einem DB–Cluster verschoben werden. Optional kann Ihre SSL/TLS Verbindung die Serveridentität überprüfen, indem das in Ihrer Datenbank installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:
1. Wählen Sie die **Zertifizierungsstelle (Certificate Authority, CA)** aus, die das **DB-Serverzertifikat** für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter[Zertifizierungsstellen](#UsingWithRDS.SSL.RegionCertificateAuthorities).
1. Laden Sie ein Zertifikatpaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Weitere Informationen zum Herunterladen eines Zertifikatpakets finden Sie unter [Zertifikatspakete von AWS-Region](#UsingWithRDS.SSL.CertificatesAllRegions) .
**Anmerkung**
Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.
1. Connect Sie mithilfe des Prozesses Ihrer DB-Engine zur Implementierung von SSL/TLS Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat ihren eigenen Prozess zur Implementierung SSL/TLS. To learn how to implement SSL/TLS für Ihre Datenbank. Folgen Sie dem Link, der Ihrer DB-Engine entspricht:
+ [Verwendung SSL/TLS mit einer Amazon RDS for Db2-DB-Instance](Db2.Concepts.SSL.md)
+ [SSL/TLS-Unterstützung für MariaDB-DB-Instances in Amazon RDS](MariaDB.Concepts.SSLSupport.md)
+ [Verwenden von SSL mit einer Microsoft SQL Server-DB-Instance](SQLServer.Concepts.General.SSL.Using.md)
+ [SSL/TLS-Unterstützung für MySQL-DB-Instances in Amazon RDS](MySQL.Concepts.SSLSupport.md)
+ [Verwenden von SSL mit einer DB-Instance von RDS für Oracle](Oracle.Concepts.SSL.md)
+ [Verwenden von SSL mit einer PostgreSQL-DB-Instance](PostgreSQL.Concepts.General.SSL.md)
## Zertifizierungsstellen
Die **Zertifizierungsstelle (CA)** ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das **DB-Serverzertifikat**. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.
![\[Übersicht über Zertifizierungsstellen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/certificate-authority-overview.png)
Amazon RDS bietet Folgendes CAs , um das DB-Serverzertifikat für eine Datenbank zu signieren.
****
| Zertifizierungsstelle (Certificate authority, CA) | Description | Allgemeiner Name (CN) |
| --- | --- | --- |
| rds-ca-rsa2048-g1 | Verwendet in den meisten Fällen eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und SHA256 einem Signaturalgorithmus. AWS-Regionen In der AWS GovCloud (US) Regions verwendet diese Zertifizierungsstelle eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und einem Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA RSA2048 G1 |
| rds-ca-rsa4096-g1 | Verwendet eine Zertifizierungsstelle mit RSA 4096-Algorithmus und Signaturalgorithmus für private Schlüssel. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA RSA4096 G1 |
| rds-ca-ecc384-g1 | Verwendet eine Zertifizierungsstelle mit ECC 384-Algorithmus für private Schlüssel und Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. | Amazon RDS region-identifier Root CA ECC384 G1 |
**Anmerkung**
[Wenn Sie das verwenden AWS CLI, können Sie die Gültigkeiten der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-certificates.html)
Diese CA-Zertifikate sind im regionalen und globalen Zertifikatpakets enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.
### Einstellung der CA für Ihre Datenbank
Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:
+ Eine DB-Instance oder einen Multi-AZ-DB-Cluster erstellen – Sie können die CA festlegen, wenn Sie eine DB-Instance oder einen DB-Cluster erstellen. Anleitungen Anweisungen finden Sie unter [Erstellen einer Amazon-RDS-DB-Instance](USER_CreateDBInstance.md) oder [Erstellen eines Multi-AZ-DB-Clusters für Amazon RDS](create-multi-az-db-cluster.md).
+ Eine DB-Instance oder einen Multi-AZ-DB-Cluster ändern – Sie können die CA für eine DB-Instance oder einen DB-Cluster festlegen, indem Sie sie ändern. Anleitungen finden Sie unter [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md) oder [Ändern eines Multi-AZ-DB-Clusters für Amazon RDS](modify-multi-az-db-cluster.md).
**Anmerkung**
Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. [Sie können die Standard-CA für Sie überschreiben, AWS-Konto indem Sie den Befehl modify-certificates verwenden.](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-certificates.html)
Die verfügbaren Optionen CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die verwenden AWS-Managementkonsole, können Sie die Zertifizierungsstelle mithilfe der Einstellung **Zertifizierungsstelle** auswählen, wie in der folgenden Abbildung dargestellt.
![\[Option „Certificate authority“ (Zertifizierungsstelle)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/certificate-authority.png)
In der Konsole werden nur die angezeigt CAs , die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)Befehl [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)or festlegen. Sie können die CA für einen Multi-AZ-DB-Cluster mit dem [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)Befehl [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)or festlegen.
Wenn Sie den verwenden AWS CLI, können Sie mit dem Befehl [describe-certificates](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-certificates.html) die CAs für Ihr Konto verfügbaren Werte anzeigen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in `ValidTill` an. Mithilfe des Befehls können Sie herausfinden CAs , welche für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. [describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)
Das folgende Beispiel zeigt die für die Standardversion der RDS for PostgreSQL DB-Engine CAs verfügbare Version.
```
aws rds describe-db-engine-versions --default-only --engine postgres
```
Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter aufgeführt. `SupportedCACertificateIdentifiers` Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in `SupportsCertificateRotationWithoutRestart` unterstützt.
```
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
```
### Gültigkeiten von DB-Serverzertifikaten
Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.
Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter [Automatische Rotation von Serverzertifikaten](UsingWithRDS.SSL-certificate-rotation.md#UsingWithRDS.SSL-certificate-rotation-server-cert-rotation).
### Anzeigen der CA für Ihre DB-Instance
Sie können die Details zur CA für eine Datenbank anzeigen, indem Sie die Registerkarte **Konnektivität und Sicherheit** in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.
![\[Details zur Zertifizierungsstelle\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/certificate-authority-details.png)
Wenn Sie die verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mithilfe des [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)Befehls anzeigen. Sie können die Details zur CA für einen Multi-AZ-DB-Cluster mithilfe des [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html)Befehls anzeigen.
##
Wenn Sie mit SSL oder TLS eine Verbindung zu Ihrer Datenbank herstellen, benötigt die Datenbank-Instance ein Vertrauenszertifikat von Amazon RDS. Wählen Sie den entsprechenden Link in der folgenden Tabelle aus, um das Paket herunterzuladen, das der AWS-Region entspricht, in der Sie Ihre Datenbank hosten.
### Zertifikatspakete von AWS-Region
Die Zertifikatspakete für alle Regionen AWS-Regionen und GovCloud (USA) enthalten die folgenden Root-CA-Zertifikate:
+ `rds-ca-rsa2048-g1`
+ `rds-ca-rsa4096-g1`
+ `rds-ca-ecc384-g1`
Die Zertifikate `rds-ca-rsa4096-g1` und `rds-ca-ecc384-g1` sind in den folgenden Regionen nicht verfügbar:
+ Asien-Pazifik (Mumbai)
+ Asien-Pazifik (Melbourne)
+ Kanada West (Calgary)
+ Europa (Zürich)
+ Europa (Spain)
+ Israel (Tel Aviv)
Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren. Registrieren Sie die CA-Zwischenzertifikate nicht in Ihrem Trust Store, da dies zu Verbindungsproblemen führen kann, wenn RDS Ihr DB-Serverzertifikat automatisch rotiert.
**Anmerkung**
Amazon RDS Proxy Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS-Proxy verwenden, müssen Sie keine Amazon-RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter [Verwendung TLS/SSL mit RDS Proxy](rds-proxy.howitworks.md#rds-proxy-security.tls).
Um ein Zertifikatspaket für einen herunterzuladen AWS-Region, wählen Sie in der folgenden Tabelle den Link für den Server aus AWS-Region , der Ihre Datenbank hostet.
| **AWS Region** | **Zertifikat-Paket (PEM)** | **Zertifikatspaket (PKCS7)** |
| --- | --- | --- |
| Irgendein kommerzieller AWS-Region | [global-bundle.pem](https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem) | [global-bundle.p7b](https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b) |
| USA Ost (Nord-Virginia) | [us-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-east-1/us-east-1-bundle.pem) | [us-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-east-1/us-east-1-bundle.p7b) |
| US East (Ohio) | [us-east-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-east-2/us-east-2-bundle.pem) | [us-east-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-east-2/us-east-2-bundle.p7b) |
| USA West (Nordkalifornien) | [us-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-west-1/us-west-1-bundle.pem) | [us-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-west-1/us-west-1-bundle.p7b) |
| USA West (Oregon) | [us-west-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/us-west-2/us-west-2-bundle.pem) | [us-west-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/us-west-2/us-west-2-bundle.p7b) |
| Africa (Cape Town) | [af-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/af-south-1/af-south-1-bundle.pem) | [af-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/af-south-1/af-south-1-bundle.p7b) |
| Asia Pacific (Hong Kong) | [ap-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-east-1/ap-east-1-bundle.pem) | [ap-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-east-1/ap-east-1-bundle.p7b) |
| Asien-Pazifik (Hyderabad) | [ap-south-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-south-2/ap-south-2-bundle.pem) | [ap-south-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-south-2/ap-south-2-bundle.p7b) |
| Asien-Pazifik (Jakarta) | [ap-southeast-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-3/ap-southeast-3-bundle.pem) | [ap-southeast-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-3/ap-southeast-3-bundle.p7b) |
| Asien-Pazifik (Malaysia) | [ap-southeast-5-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-5/ap-southeast-5-bundle.pem) | [ap-southeast-5-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-5/ap-southeast-5-bundle.p7b) |
| Asien-Pazifik (Melbourne) | [ap-southeast-4-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-4/ap-southeast-4-bundle.pem) | [ap-southeast-4-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-4/ap-southeast-4-bundle.p7b) |
| Asien-Pazifik (Mumbai) | [ap-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-south-1/ap-south-1-bundle.pem) | [ap-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-south-1/ap-south-1-bundle.p7b) |
| Asia Pacific (Osaka) | [ap-northeast-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-3/ap-northeast-3-bundle.pem) | [ap-northeast-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-3/ap-northeast-3-bundle.p7b) |
| Asien-Pazifik (Thailand) | [ap-southeast-7-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-7/ap-southeast-7-bundle.pem) | [ap-southeast-7-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-7/ap-southeast-7-bundle.p7b) |
| Asien-Pazifik (Tokio) | [ap-northeast-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-1/ap-northeast-1-bundle.pem) | [ap-northeast-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-1/ap-northeast-1-bundle.p7b) |
| Asia Pacific (Seoul) | [ap-northeast-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-northeast-2/ap-northeast-2-bundle.pem) | [ap-northeast-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-northeast-2/ap-northeast-2-bundle.p7b) |
| Asien-Pazifik (Singapur) | [ap-southeast-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-1/ap-southeast-1-bundle.pem) | [ap-southeast-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-1/ap-southeast-1-bundle.p7b) |
| Asien-Pazifik (Sydney) | [ap-southeast-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/ap-southeast-2/ap-southeast-2-bundle.pem) | [ap-southeast-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ap-southeast-2/ap-southeast-2-bundle.p7b) |
| Canada (Central) | [ca-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ca-central-1/ca-central-1-bundle.pem) | [ca-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ca-central-1/ca-central-1-bundle.p7b) |
| Kanada West (Calgary) | [ca-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/ca-west-1/ca-west-1-bundle.pem) | [ca-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/ca-west-1/ca-west-1-bundle.p7b) |
| Europa (Frankfurt) | [eu-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-central-1/eu-central-1-bundle.pem) | [eu-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-central-1/eu-central-1-bundle.p7b) |
| Europa (Irland) | [eu-west-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-1/eu-west-1-bundle.pem) | [eu-west-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-1/eu-west-1-bundle.p7b) |
| Europe (London) | [eu-west-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-2/eu-west-2-bundle.pem) | [eu-west-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-2/eu-west-2-bundle.p7b) |
| Europe (Milan) | [eu-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-south-1/eu-south-1-bundle.pem) | [eu-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-south-1/eu-south-1-bundle.p7b) |
| Europe (Paris) | [eu-west-3-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-west-3/eu-west-3-bundle.pem) | [eu-west-3-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-west-3/eu-west-3-bundle.p7b) |
| Europa (Spain) | [eu-south-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-south-2/eu-south-2-bundle.pem) | [eu-south-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-south-2/eu-south-2-bundle.p7b) |
| Europa (Stockholm) | [eu-north-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-north-1/eu-north-1-bundle.pem) | [eu-north-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-north-1/eu-north-1-bundle.p7b) |
| Europa (Zürich) | [eu-central-2-bundle.pem](https://truststore.pki.rds.amazonaws.com/eu-central-2/eu-central-2-bundle.pem) | [eu-central-2-bundle.p7b](https://truststore.pki.rds.amazonaws.com/eu-central-2/eu-central-2-bundle.p7b) |
| Israel (Tel Aviv) | [il-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/il-central-1/il-central-1-bundle.pem) | [il-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/il-central-1/il-central-1-bundle.p7b) |
| Mexiko (Zentral) | [mx-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/mx-central-1/mx-central-1-bundle.pem) | [mx-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/mx-central-1/mx-central-1-bundle.p7b) |
| Middle East (Bahrain) | [me-south-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/me-south-1/me-south-1-bundle.pem) | [me-south-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/me-south-1/me-south-1-bundle.p7b) |
| Naher Osten (VAE) | [me-central-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/me-central-1/me-central-1-bundle.pem) | [me-central-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/me-central-1/me-central-1-bundle.p7b) |
| Südamerika (São Paulo) | [sa-east-1-bundle.pem](https://truststore.pki.rds.amazonaws.com/sa-east-1/sa-east-1-bundle.pem) | [sa-east-1-bundle.p7b](https://truststore.pki.rds.amazonaws.com/sa-east-1/sa-east-1-bundle.p7b) |
| Irgendein s AWS GovCloud (US) Region | [global-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem) | [global-bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b) |
| AWS GovCloud (US-Ost) | [us-gov-east-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem) | [us-gov-east-1-Bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.p7b) |
| AWS GovCloud (US-West) | [us-gov-west-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem) | [us-gov-west-1-Bundle.p7b](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.p7b) |
### Anzeigen des Inhalts Ihres CA-Zertifikats
Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatpakets zu überprüfen:
```
keytool -printcert -v -file global-bundle.pem
```
# Ihr SSL/TLS Zertifikat rotieren
Die Zertifikate der Amazon-RDS-Zertifizierungsstelle rds-ca-2019 sind im August 2024 abgelaufen. Wenn Sie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) mit Zertifikatsüberprüfung verwenden oder dies planen, um eine Verbindung zu Ihren RDS-DB-Instances oder Multi-AZ-DB-Clustern herzustellen, sollten Sie die Verwendung eines der neuen CA-Zertifikate rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder 384-g1 in Betracht ziehen. rds-ca-ecc Wenn Sie derzeit keine Zertifikatsverifizierung verwenden SSL/TLS , haben Sie möglicherweise immer noch ein abgelaufenes CA-Zertifikat und müssen es auf ein neues CA-Zertifikat aktualisieren, wenn Sie es SSL/TLS mit der Zertifikatsverifizierung verwenden möchten, um eine Verbindung zu Ihren RDS-Datenbanken herzustellen.
Amazon RDS bietet neue CA-Zertifikate als bewährte AWS Sicherheitsmethode. Informationen zu den neuen Zertifikaten und den unterstützten AWS Regionen finden Sie unter[](UsingWithRDS.SSL.md).
Verwenden Sie die folgenden Methoden, um das CA-Zertifikat für Ihre Datenbank zu aktualisieren:
+ [Aktualisieren des CA-Zertifikats durch Ändern der DB-Instanceoder des DB-Clusters](#UsingWithRDS.SSL-certificate-rotation-updating)
+ [Aktualisieren des CA-Zertifikats durch Anwenden der Wartung](#UsingWithRDS.SSL-certificate-rotation-maintenance-update)
Bevor Sie Ihre DB-Instances oder Multi-AZ-DB-Cluster zur Verwendung des neuen CA-Zertifikats aktualisieren, stellen sie sicher, dass Sie Ihre Clients oder Anwendungen aktualisieren, die eine Verbindung mit Ihren RDS-Datenbanken herstellen.
## Überlegungen zur Rotation von Zertifikaten
Beachten Sie die folgenden Situationen, bevor Sie Ihr Zertifikat rotieren:
+ Amazon RDS Proxy Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie beim Rotieren Ihres SSL/TLS Zertifikats keine Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter [Verwendung TLS/SSL mit RDS Proxy](rds-proxy.howitworks.md#rds-proxy-security.tls).
+ Wenn Sie eine Go-Anwendung der Version 1.15 mit einer DB-Instance oder einem Multi-AZ-DB-Cluster verwenden, die vor dem 28. Juli 2020 erstellt oder auf das Zertifikat rds-ca-2019 aktualisiert wurde, müssen Sie das Zertifikat erneut aktualisieren.
Verwenden Sie den Befehl `modify-db-instance` für eine DB-Instance oder den Befehl `modify-db-cluster` für einen Multi-AZ-DB-Cluster unter Verwendung der neuen CA-Zertifikat-ID. Sie können die, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind CAs , mit dem Befehl finden. `describe-db-engine-versions`
Wenn Sie Ihre Datenbank nach dem 28. Juli 2020 erstellt oder das entsprechende Zertifikat aktualisiert haben, ist keine Aktion erforderlich. Weitere Informationen finden Sie in [ GitHub Go-Ausgabe \$139568](https://github.com/golang/go/issues/39568).
## Aktualisieren des CA-Zertifikats durch Ändern der DB-Instanceoder des DB-Clusters
*Im folgenden Beispiel wird Ihr CA-Zertifikat von *rds-ca-2019* auf 2048-g1 aktualisiert. rds-ca-rsa* Sie können ein anderes Zertifikat wählen. Weitere Informationen finden Sie unter[Zertifizierungsstellen](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities).
Aktualisieren Sie Ihren Anwendungs-Trust-Store, um Ausfallzeiten im Zusammenhang mit der Aktualisierung Ihres CA-Zertifikats zu reduzieren. Weitere Informationen zu Neustarts in Zusammenhang mit der CA-Zertifikatrotation finden Sie unter [Automatische Rotation von Serverzertifikaten](#UsingWithRDS.SSL-certificate-rotation-server-cert-rotation).
**So aktualisieren Sie das CA-Zertifikat durch Ändern der DB-Instanceoder des DB-Clusters**
1. Laden Sie das neue SSL/TLS Zertifikat herunter, wie unter beschrieben[](UsingWithRDS.SSL.md).
1. Aktualisieren Sie Ihre Anwendungen zur Verwendung der neuen SSL/TLS-Zertifikate.
Die Methoden zur Aktualisierung von Anträgen auf neue SSL/TLS Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL/TLS Zertifikate für Ihre Anwendungen zu aktualisieren.
Informationen zum Prüfen von SSL/TLS Verbindungen und zum Aktualisieren von Anwendungen für die einzelnen DB-Engines finden Sie in den folgenden Themen:
+ [Aktualisierung von Anwendungen, um mithilfe neuer Zertifikate eine Verbindung zu MariaDB-Instanzen herzustellen SSL/TLS](ssl-certificate-rotation-mariadb.md)
+ [Aktualisieren von Anwendungen für die Verbindung mit Microsoft SQL Server-DB-Instances unter Verwendung neuer SSL/TLS-Zertifikate](ssl-certificate-rotation-sqlserver.md)
+ [Aktualisierung von Anwendungen für die Verbindung zu MySQL-DB-Instances mithilfe neuer SSL/TLS Zertifikate](ssl-certificate-rotation-mysql.md)
+ [Anwendungen aktualisieren, um mithilfe neuer SSL/TLS Zertifikate eine Verbindung zu Oracle-DB-Instances herzustellen](ssl-certificate-rotation-oracle.md)
+ [Aktualisierung von Anwendungen für die Verbindung mit PostgreSQL-DB-Instances mithilfe neuer Zertifikate SSL/TLS](ssl-certificate-rotation-postgresql.md)
Ein Beispielskript, das einen Trust Store für ein Linux-Betriebssystem aktualisiert, finden Sie unter[Beispielskript für den Import von Zertifikaten in Ihren Trust Store](#UsingWithRDS.SSL-certificate-rotation-sample-script).
**Anmerkung**
Das Zertifikatpaket enthält Zertifikate für die neue und die alte CA, damit Sie Ihre Anwendung sicher aktualisieren und die Verbindung während der Übergangsphase aufrecht erhalten können. Wenn Sie das verwenden, um eine Datenbank AWS Database Migration Service zu einer DB-Instance oder einem zu migrieren, empfehlen wir die Verwendung des Zertifikatspakets, um die Konnektivität während der Migration sicherzustellen.
1. **Ändern Sie die DB-Instance oder den Multi-AZ-DB-Cluster, um die CA von **rds-ca-2019** auf 2048-g1 zu ändern. rds-ca-rsa** Um zu überprüfen, ob Ihre Datenbank zum Aktualisieren der CA-Zertifikate neu gestartet werden muss, verwenden Sie den Befehl und überprüfen Sie das Flag. [describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)`SupportsCertificateRotationWithoutRestart`
**Wichtig**
Wenn nach dem Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option „Sofort anwenden“, indem Sie **Sofort anwenden** in der Konsole angeben oder die Option `--apply-immediately` mit der AWS CLI festlegen. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.
Bei DB-Instances von RDS für Oracle empfehlen wir Ihnen, Ihre Oracle-DB neu zu starten, um Verbindungsfehler zu vermeiden.
Bei Multi-AZ-Instances von RDS für SQL Server mit AlwaysOn aktivierter Spiegelungsoption wird ein Failover erwartet, wenn die Instanz nach der Zertifikatsrotation neu gestartet wird.
Um eine Überschreibung für Ihre Instance-CA festzulegen, die sich von der standardmäßigen RDS-CA unterscheidet, verwenden Sie den CLI-Befehl [modify-certificates](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-certificates.html).
Sie können das AWS-Managementkonsole oder das verwenden, AWS CLI um das CA-Zertifikat von **rds-ca-2019** auf **rds-ca-rsa2048-g1 für eine DB-Instance oder einen Multi-AZ-DB-Cluster** zu ändern.
------
#### [ Console ]
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** und dann die DB-Instance oder den Multi-AZ-DB-Cluster für die Änderung aus.
1. Wählen Sie **Ändern** aus.
![\[Ändern einer DB-Instance oder eines DB-Clusters mit Multi-AZ\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-modify.png)
1. Wählen Sie im Bereich **Konnektivität** die Option **rds-ca-rsa2048-g1** aus.
![\[CA-Zertifikat auswählen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-ca-rsa2048-g1.png)
1. Klicken Sie auf **Weiter** und überprüfen Sie die Zusammenfassung aller Änderungen.
1. Wählen Sie **Sofort anwenden** aus, um die Änderungen sofort anzuwenden.
1. Überprüfen Sie auf der Bestätigungsseite Ihre Änderungen. Wenn sie korrekt sind, wählen Sie **DB-Instance ändern** oder **Cluster ändern** aus, um Ihre Änderungen zu speichern.
**Wichtig**
Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.
Oder klicken Sie auf **Zurück**, um Ihre Änderungen zu bearbeiten, oder auf **Abbrechen**, um Ihre Änderungen zu verwerfen.
------
#### [ AWS CLI ]
AWS CLI Um die CA für eine DB-Instance oder einen Multi-AZ-DB-Cluster von **rds-ca-2019** auf **rds-ca-rsa2048-g1** zu ändern, rufen Sie den Befehl or auf. [modify-db-instance[modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) Geben Sie die DB-Instance- oder Cluster-Kennung und die Option `--ca-certificate-identifier` an.
Verwenden Sie den Parameter `--apply-immediately`, um das Update sofort anzuwenden. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.
**Wichtig**
Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.
**Example**
**DB-Instance**
Das folgende Beispiel ändert `mydbinstance`, indem das CA-Zertifikat auf `rds-ca-rsa2048-g1` festgelegt wird.
Für Linux, macOS oder Unix:
```
aws rds modify-db-instance \
--db-instance-identifier mydbinstance \
--ca-certificate-identifier rds-ca-rsa2048-g1
```
Für Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier mydbinstance ^
--ca-certificate-identifier rds-ca-rsa2048-g1
```
Wenn Ihre Instance neu gestartet werden muss, können Sie den [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI-Befehl verwenden und die `--no-certificate-rotation-restart` Option angeben.
**Example**
**Multi-AZ-DB-Cluster**
Das folgende Beispiel ändert `mydbcluster`, indem das CA-Zertifikat auf `rds-ca-rsa2048-g1` festgelegt wird.
Für Linux, macOS oder Unix:
```
aws rds modify-db-cluster \
--db-cluster-identifier mydbcluster \
--ca-certificate-identifier rds-ca-rsa2048-g1
```
Für Windows:
```
aws rds modify-db-cluster ^
--db-cluster-identifier mydbcluster ^
--ca-certificate-identifier rds-ca-rsa2048-g1
```
------
## Aktualisieren des CA-Zertifikats durch Anwenden der Wartung
Führen Sie die folgenden Schritte aus, um Ihr CA-Zertifikat durch Anwendung der Wartung zu aktualisieren.
------
#### [ Console ]
**So aktualisieren Sie Ihr CA-Zertifikat durch Anwendung der Wartung**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich die Option **Zertifikataktualisierung**.
![\[Option zur Zertifikatrotation im Navigationsbereich\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-certupdate.png)
Die Seite **Datenbanken, die eine Zertifikataktualisierung erfordern** wird angezeigt.
![\[Aktualisieren des CA-Zertifikats für die Datenbank\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-update-multiple.png)
**Anmerkung**
Auf dieser Seite werden nur die aktuellen DB-Instances und -Cluster angezeigt AWS-Region. Wenn Sie Datenbanken in mehr als einer haben AWS-Region, überprüfen Sie diese Seite auf jeder Seite, AWS-Region um alle DB-Instances mit alten SSL/TLS Zertifikaten zu sehen.
1. Wählen Sie die DB-Instance oder den Multi-AZ-DB-Cluster für die Aktualisierung aus.
Sie können die Zertifikatrotation für das nächste Wartungsfenster planen, indem Sie **Zeitplan** wählen. Wenden Sie die Rotation sofort an, indem Sie **Jetzt anwenden** wählen.
**Wichtig**
Wenn nach Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option **Jetzt anwenden**.
1.
1. Wenn Sie **Zeitplan** wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen. In dieser Aufforderung wird auch das geplante Fenster für das Update angegeben.
![\[Confirm certificate rotation (Zertifikatrotation bestätigen)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-confirm-schedule.png)
1. Wenn Sie **Jetzt anwenden** wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen.
![\[Confirm certificate rotation (Zertifikatrotation bestätigen)\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/ssl-rotate-cert-confirm-now.png)
**Wichtig**
Bevor Sie die Rotation der CA-Zertifikate für Ihre Datenbank planen, aktualisieren Sie alle Client-Anwendungen, die das Serverzertifikat für die Verbindung verwenden SSL/TLS . Diese Updates sind spezifisch für Ihre DB-Engine. Nachdem Sie diese Clientanwendungen aktualisiert haben, können Sie die Rotation des CA-Zertifikats bestätigen.
Aktivieren Sie das Kontrollkästchen und klicken Sie dann auf **Confirm (Bestätigen)**, um fortzufahren.
1. Wiederholen Sie Schritt 3 und 4 für alle DB-Instances und Cluster, die aktualisiert werden sollen.
------
## Automatische Rotation von Serverzertifikaten
Wenn Ihre Root-CA die automatische Rotation von Serverzertifikaten unterstützt, übernimmt RDS automatisch die Rotation des DB-Serverzertifikats. RDS verwendet dieselbe Stamm-CA für diese automatische Rotation, sodass Sie kein neues CA-Paket herunterladen müssen. Siehe [Zertifizierungsstellen](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities).
Die Rotation und Gültigkeit Ihres DB-Serverzertifikats hängen von Ihrer DB-Engine ab:
+ Wenn Ihre DB-Engine die Rotation ohne Neustart unterstützt, rotiert RDS das DB-Serverzertifikat automatisch, ohne dass Sie etwas unternehmen müssen. RDS versucht, Ihr DB-Serverzertifikat in Ihrem bevorzugten Wartungsfenster nach der Halbwertszeit des DB-Serverzertifikats zu rotieren. Das neue DB-Serverzertifikat ist 12 Monate lang gültig.
+ Wenn Ihre DB-Engine die Rotation ohne Neustart nicht unterstützt, macht Amazon RDS während der Halbwertszeit des Zertifikats oder mindestens 3 Monate vor Ablauf eine `server-certificate-rotation` ausstehende Wartungsaktion per Describe-pending-maintenance-actions API sichtbar. Sie können die Rotation mithilfe der apply-pending-maintenance-action API anwenden. Das neue DB-Serverzertifikat ist 36 Monate lang gültig.
Verwenden Sie den [ describe-db-engine-versions](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-engine-versions.html)Befehl und überprüfen Sie das `SupportsCertificateRotationWithoutRestart` Flag, um festzustellen, ob die DB-Engine-Version das Rotieren des Zertifikats ohne Neustart unterstützt. Weitere Informationen finden Sie unter [Einstellung der CA für Ihre Datenbank](UsingWithRDS.SSL.md#UsingWithRDS.SSL.RegionCertificateAuthorities.Selection).
## Beispielskript für den Import von Zertifikaten in Ihren Trust Store
Nachfolgend sind Beispiel-Shell-Skripte aufgeführt, die das Zertifikatspaket in einen Vertrauensspeicher importieren.
Jedes Beispiel-Shell-Skript verwendet keytool, das Teil des Java Development Kits (JDK) ist. Weitere Informationen über die Installation von JDK finden Sie im [JDK-Installationshandbuch](https://docs.oracle.com/en/java/javase/17/install/overview-jdk-installation.html).
------
#### [ Linux ]
Nachfolgend finden Sie ein Beispiel-Shell-Skript, das das Zertifikatpaket in einen Trust Store auf einem Linux-Betriebssystem importiert.
```
mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi truststore=${mydir}/rds-truststore.jks storepassword=changeit
curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem"> ${mydir}/global-bundle.pem
awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem
for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
echo "Importing $alias"
keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
rm $CERT
done
rm ${mydir}/global-bundle.pem
echo "Trust store content is: "
keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias
do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
echo " Certificate ${alias} expires in '$expiry'"
done
```
------
#### [ macOS ]
Es folgt ein Beispiel für ein Shell-Skript, das das Zertifikatspaket in einen Vertrauensspeicher unter macOS importiert.
```
mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi truststore=${mydir}/rds-truststore.jks storepassword=changeit
curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem"> ${mydir}/global-bundle.pem
split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca-
for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
echo "Importing $alias"
keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
rm $CERT
done
rm ${mydir}/global-bundle.pem
echo "Trust store content is: "
keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias
do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
echo " Certificate ${alias} expires in '$expiry'"
done
```
------