- Amazon Relational Database Service
ZertifizierungsstellenLaden Sie Zertifikatspakete herunter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einer Datenbank zu verschlüsseln, auf der Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle oder Postgre ausgeführt wird. SQL

SSL Optional kann Ihre SSL TLS /-Verbindung eine Überprüfung der Serveridentität durchführen, indem sie das in Ihrer Datenbank installierte Serverzertifikat validiert. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:

  1. Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.

  2. Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Zertifikatspakete von AWS-Region.

    Anmerkung

    Alle Zertifikate können nur mithilfe vonSSL/TLS-Verbindungen heruntergeladen werden.

  3. Connect Sie mithilfe des Prozesses Ihrer DB-Engine zur Implementierung von SSL TLS /connections eine Verbindung zur Datenbank her. Jede DB-Engine hat ihren eigenen Prozess zur Implementierung vonSSL/TLS. Um zu erfahren, wie SieSSL/TLSfür Ihre Datenbank implementieren, folgen Sie dem Link, der Ihrer DB-Engine entspricht:

Zertifizierungsstellen

Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.

Übersicht über Zertifizierungsstellen

Amazon RDS bietet FolgendesCAs, um das DB-Serverzertifikat für eine Datenbank zu signieren.

Zertifizierungsstelle (Certificate authority, CA) Beschreibung Allgemeiner Name (CN)

rds-ca-2019

Verwendet eine Zertifizierungsstelle mit einem privaten Schlüsselalgorithmus und einem SHA256 Signaturalgorithmus von RSA 2048. Diese CA läuft 2024 ab und unterstützt keine automatische Rotation von Serverzertifikaten. Wenn Sie diese CA verwenden und den gleichen Standard beibehalten möchten, empfehlen wir Ihnen, zur rds-ca-rsa 2048-g1-CA zu wechseln.

 Amazon RDS region-identifier CA. 2019

rds-ca-rsa2048-g1

Verwendet in den meisten Fällen eine Zertifizierungsstelle mit einem privaten Schlüsselalgorithmus und SHA256 einem Signaturalgorithmus von RSA 2048 AWS-Regionen.

Im AWS GovCloud (US) Regions, diese CA verwendet eine Zertifizierungsstelle mit RSA 2048-Algorithmus und SHA384 Signaturalgorithmus für private Schlüssel.

Diese CA bleibt länger gültig als die CA rds-ca-2019. Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

 Amazon RDS region-identifier RSA2048 G1

rds-ca-rsa4096-g1

Verwendet eine Zertifizierungsstelle mit einem RSA 4096-Algorithmus für private Schlüssel und einem Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Amazon RDS region-identifier RSA4096 G 1

rds-ca-ecc384-g1

Verwendet eine Zertifizierungsstelle mit einem 384-Algorithmus für ECC private Schlüssel und SHA384 einem Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Amazon RDS region-identifier ECC384G 1
Anmerkung

Wenn Sie das verwenden AWS CLI, können Sie die Gültigkeiten der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.

Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet das DB-Serverzertifikat in der Datenbank. RDS RDSrotiert das DB-Serverzertifikat automatisch, bevor es abläuft.

Einstellung der CA für Ihre Datenbank

Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:

Anmerkung

Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. Sie können die Standard-CA für Ihre überschreiben AWS-Konto indem Sie den Befehl modify-certificates verwenden.

Die verfügbaren Optionen CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie das verwenden AWS Management Console, können Sie die Zertifizierungsstelle mithilfe der Einstellung Zertifizierungsstelle auswählen, wie in der folgenden Abbildung dargestellt.

Option „Certificate authority“ (Zertifizierungsstelle)

In der Konsole werden nur die angezeigtCAs, die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie das verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem modify-db-instanceBefehl create-db-instanceor festlegen. Sie können die CA für einen Multi-AZ-DB-Cluster mit dem modify-db-clusterBefehl create-db-clusteror festlegen.

Wenn Sie den verwenden AWS CLI, können Sie die CAs für Ihr Konto verfügbaren Dateien mit dem Befehl describe-certificates einsehen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill an. Mithilfe des Befehls können Sie herausfindenCAs, welche für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. describe-db-engine-versions

Das folgende Beispiel zeigt die für die RDS Standardversion der SQL Postgre-DB-Engine CAs verfügbare Version.

aws rds describe-db-engine-versions --default-only --engine postgres

Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter aufgeführt. SupportedCACertificateIdentifiers Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart unterstützt.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Gültigkeiten von DB-Serverzertifikaten

Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.

Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.

Die CA für Ihre DB-Instance anzeigen

Sie können die Details zur CA für eine Datenbank einsehen, indem Sie die Registerkarte Konnektivität und Sicherheit in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.

Details zur Zertifizierungsstelle

Wenn Sie das verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mit dem describe-db-instancesBefehl anzeigen. Sie können die Details zur CA für einen Multi-AZ-DB-Cluster mithilfe des describe-db-clustersBefehls anzeigen.

Wenn Sie mit SSL oder eine Verbindung zu Ihrer Datenbank herstellenTLS, benötigt die Datenbank-Instance ein Vertrauenszertifikat von AmazonRDS. Wählen Sie den entsprechenden Link in der folgenden Tabelle aus, um das Paket herunterzuladen, das dem entspricht AWS-Region wo Sie Ihre Datenbank hosten.

Zertifikatspakete von AWS-Region

Die Zertifikatspakete für alle AWS-Regionen Die Regionen und GovCloud (USA) enthalten die folgenden Zertifikate:

  • rds-ca-2019Zwischen- und Stammzertifikate.

  • rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und rds-ca-ecc384-g1 Root-CA-Zertifikate. Ihr Anwendungs-Trustspeicher muss nur das Root-CA-Zertifikat registrieren.

Anmerkung

Amazon RDS Proxy verwendet Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine RDS Amazon-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter TLS/SSLmit RDS Proxy verwenden.

Um ein Zertifikatspaket herunterzuladen für AWS-Region, wählen Sie den Link für AWS-Region das Ihre Datenbank in der folgenden Tabelle hostet.

AWS Region Zertifikatspaket (PEM) Zertifikatspaket (PKCS7)
Irgendein kommerzieller AWS-Region global-bundle.pem global-bundle.p7b
USA Ost (Nord-Virginia) us-east-1-bundle.pem us-east-1-bundle.p7b
US East (Ohio) us-east-2-bundle.pem us-east-2-bundle.p7b
USA West (Nordkalifornien) us-west-1-bundle.pem us-west-1-bundle.p7b
USA West (Oregon) us-west-2-bundle.pem us-west-2-bundle.p7b
Africa (Cape Town) af-south-1-bundle.pem af-south-1-bundle.p7b
Asia Pacific (Hong Kong) ap-east-1-bundle.pem ap-east-1-bundle.p7b
Asien-Pazifik (Hyderabad) ap-south-2-bundle.pem ap-south-2-bundle.p7b
Asien-Pazifik (Jakarta) ap-southeast-3-bundle.pem ap-southeast-3-bundle.p7b
Asien-Pazifik (Malaysia) ap-southeast-5-bundle.pem ap-southeast-5-bundle.p7b
Asien-Pazifik (Melbourne) ap-southeast-4-bundle.pem ap-southeast-4-bundle.p7b
Asien-Pazifik (Mumbai) ap-south-1-bundle.pem ap-south-1-bundle.p7b
Asia Pacific (Osaka) ap-northeast-3-bundle.pem ap-northeast-3-bundle.p7b
Asien-Pazifik (Tokio) ap-northeast-1-bundle.pem ap-northeast-1-bundle.p7b
Asia Pacific (Seoul) ap-northeast-2-bundle.pem ap-northeast-2-bundle.p7b
Asien-Pazifik (Singapur) ap-southeast-1-bundle.pem ap-southeast-1-bundle.p7b
Asien-Pazifik (Sydney) ap-southeast-2-bundle.pem ap-southeast-2-bundle.p7b
Canada (Central) ca-central-1-bundle.pem ca-central-1-bundle.p7b
Kanada West (Calgary) ca-west-1-bundle.pem ca-west-1-bundle.p7b
Europa (Frankfurt) eu-central-1-bundle.pem eu-central-1-bundle.p7b
Europa (Irland) eu-west-1-bundle.pem eu-west-1-bundle.p7b
Europe (London) eu-west-2-bundle.pem eu-west-2-bundle.p7b
Europe (Milan) eu-south-1-bundle.pem eu-south-1-bundle.p7b
Europe (Paris) eu-west-3-bundle.pem eu-west-3-bundle.p7b
Europa (Spain) eu-south-2-bundle.pem eu-south-2-bundle.p7b
Europa (Stockholm) eu-north-1-bundle.pem eu-north-1-bundle.p7b
Europa (Zürich) eu-central-2-bundle.pem eu-central-2-bundle.p7b
Israel (Tel Aviv) il-central-1-bundle.pem il-central-1-bundle.p7b
Naher Osten (Bahrain) me-south-1-bundle.pem me-south-1-bundle.p7b
Naher Osten () UAE me-central-1-bundle.pem me-central-1-bundle.p7b
Südamerika (São Paulo) sa-east-1-bundle.pem sa-east-1-bundle.p7b
Any AWS GovCloud (US) Region S global-bundle.pem global-bundle.p7b
AWS GovCloud (US-Ost) us-gov-east-1-bundle.pem us-gov-east-1-Bundle.p7b
AWS GovCloud (US-West) us-gov-west-1-bundle.pem us-gov-west-1-Bundle.p7b

Den Inhalt Ihres CA-Zertifikats anzeigen

Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen: 

keytool -printcert -v -file global-bundle.pem