- Amazon Relational Database Service
ZertifizierungsstellenLaden Sie Zertifikatspakete herunter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) von Ihrer Anwendung aus verwenden, um eine Verbindung zu einer Datenbank zu verschlüsseln, auf der Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL ausgeführt wird.

Optional kann Ihre SSL/TLS-Verbindung die Serveridentität überprüfen, indem das in Ihrer Datenbank installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:

  1. Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.

  2. Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Zertifikatspakete von AWS-Region.

    Anmerkung

    Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.

  3. Connect Sie mithilfe des Implementierungsprozesses Ihrer DB-Engine SSL/TLS connections. Each DB engine has its own process for implementing SSL/TLS. To learn how to implement SSL/TLS für Ihre Datenbank eine Verbindung zur Datenbank her. Folgen Sie dem Link, der Ihrer DB-Engine entspricht:

Zertifizierungsstellen

Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.

Übersicht über Zertifizierungsstellen

Amazon RDS bietet Folgendes CAs , um das DB-Serverzertifikat für eine Datenbank zu signieren.

Zertifizierungsstelle (Certificate authority, CA) Beschreibung Allgemeiner Name (CN)

rds-ca-rsa2048-g1

Verwendet in den meisten Fällen eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und SHA256 einem Signaturalgorithmus. AWS-Regionen

In der AWS GovCloud (US) Regions verwendet diese Zertifizierungsstelle eine Zertifizierungsstelle mit dem RSA 2048-Algorithmus für private Schlüssel und dem Signaturalgorithmus. SHA384

Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

 Amazon RDS region-identifier RSA2 048 G1

rds-ca-rsa4096-g1

Verwendet eine Zertifizierungsstelle mit RSA 4096-Algorithmus und Signaturalgorithmus für private Schlüssel. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Amazon RDS region-identifier RSA4 096 G1

rds-ca-ecc384-g1

Verwendet eine Zertifizierungsstelle mit ECC 384-Algorithmus für private Schlüssel und Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Amazon RDS region-identifier ECC384 G 1
Anmerkung

Wenn Sie das verwenden AWS CLI, können Sie die Gültigkeiten der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.

Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.

Einstellung der CA für Ihre Datenbank

Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:

Anmerkung

Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. Sie können die Standard-CA für Sie überschreiben, AWS-Konto indem Sie den Befehl modify-certificates verwenden.

Die verfügbaren Optionen CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die verwenden AWS Management Console, können Sie die Zertifizierungsstelle mithilfe der Einstellung Zertifizierungsstelle auswählen, wie in der folgenden Abbildung dargestellt.

Option „Certificate authority“ (Zertifizierungsstelle)

In der Konsole werden nur die angezeigt CAs , die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem modify-db-instanceBefehl create-db-instanceor festlegen. Sie können die CA für einen Multi-AZ-DB-Cluster mit dem modify-db-clusterBefehl create-db-clusteror festlegen.

Wenn Sie den verwenden AWS CLI, können Sie mit dem Befehl describe-certificates die CAs für Ihr Konto verfügbaren Werte anzeigen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill an. Mithilfe des Befehls können Sie herausfinden CAs , welche für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. describe-db-engine-versions

Das folgende Beispiel zeigt die für die Standardversion der RDS for PostgreSQL DB-Engine CAs verfügbare Version.

aws rds describe-db-engine-versions --default-only --engine postgres

Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter aufgeführt. SupportedCACertificateIdentifiers Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart unterstützt.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Gültigkeiten von DB-Serverzertifikaten

Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.

Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.

Die CA für Ihre DB-Instance anzeigen

Sie können die Details zur CA für eine Datenbank einsehen, indem Sie die Registerkarte Konnektivität und Sicherheit in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.

Details zur Zertifizierungsstelle

Wenn Sie die verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mithilfe des describe-db-instancesBefehls anzeigen. Sie können die Details zur CA für einen Multi-AZ-DB-Cluster mithilfe des describe-db-clustersBefehls anzeigen.

Wenn Sie mit SSL oder TLS eine Verbindung zu Ihrer Datenbank herstellen, benötigt die Datenbank-Instance ein Vertrauenszertifikat von Amazon RDS. Wählen Sie den entsprechenden Link in der folgenden Tabelle aus, um das Paket herunterzuladen, das dem entspricht, AWS-Region wo Sie Ihre Datenbank hosten.

Zertifikatspakete von AWS-Region

Die Zertifikatspakete für alle Regionen AWS-Regionen und GovCloud (USA) enthalten die folgenden Root-CA-Zertifikate:

  • rds-ca-rsa2048-g1

  • rds-ca-rsa4096-g1

  • rds-ca-ecc384-g1

Die rds-ca-ecc384-g1 Zertifikate rds-ca-rsa4096-g1 und sind in den folgenden Regionen nicht verfügbar:

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Melbourne)

  • Kanada West (Calgary)

  • Europa (Zürich)

  • Europa (Spain)

  • Israel (Tel Aviv)

Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren.

Anmerkung

Amazon RDS Proxy verwendet Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter TLS/SSLmit RDS Proxy verwenden.

Um ein Zertifikatspaket für eine herunterzuladen AWS-Region, wählen Sie in der folgenden Tabelle den Link für AWS-Region das, das Ihre Datenbank hostet.

AWS Region Zertifikat-Paket (PEM) Zertifikatspaket (PKCS7)
Irgendein kommerzieller AWS-Region global-bundle.pem global-bundle.p7b
USA Ost (Nord-Virginia) us-east-1-bundle.pem us-east-1-bundle.p7b
US East (Ohio) us-east-2-bundle.pem us-east-2-bundle.p7b
USA West (Nordkalifornien) us-west-1-bundle.pem us-west-1-bundle.p7b
USA West (Oregon) us-west-2-bundle.pem us-west-2-bundle.p7b
Africa (Cape Town) af-south-1-bundle.pem af-south-1-bundle.p7b
Asia Pacific (Hong Kong) ap-east-1-bundle.pem ap-east-1-bundle.p7b
Asien-Pazifik (Hyderabad) ap-south-2-bundle.pem ap-south-2-bundle.p7b
Asien-Pazifik (Jakarta) ap-southeast-3-bundle.pem ap-southeast-3-bundle.p7b
Asien-Pazifik (Malaysia) ap-southeast-5-bundle.pem ap-southeast-5-bundle.p7b
Asien-Pazifik (Melbourne) ap-southeast-4-bundle.pem ap-southeast-4-bundle.p7b
Asien-Pazifik (Mumbai) ap-south-1-bundle.pem ap-south-1-bundle.p7b
Asia Pacific (Osaka) ap-northeast-3-bundle.pem ap-northeast-3-bundle.p7b
Asien-Pazifik (Tokio) ap-northeast-1-bundle.pem ap-northeast-1-bundle.p7b
Asia Pacific (Seoul) ap-northeast-2-bundle.pem ap-northeast-2-bundle.p7b
Asien-Pazifik (Singapur) ap-southeast-1-bundle.pem ap-southeast-1-bundle.p7b
Asien-Pazifik (Sydney) ap-southeast-2-bundle.pem ap-southeast-2-bundle.p7b
Canada (Central) ca-central-1-bundle.pem ca-central-1-bundle.p7b
Kanada West (Calgary) ca-west-1-bundle.pem ca-west-1-bundle.p7b
Europa (Frankfurt) eu-central-1-bundle.pem eu-central-1-bundle.p7b
Europa (Irland) eu-west-1-bundle.pem eu-west-1-bundle.p7b
Europe (London) eu-west-2-bundle.pem eu-west-2-bundle.p7b
Europe (Milan) eu-south-1-bundle.pem eu-south-1-bundle.p7b
Europe (Paris) eu-west-3-bundle.pem eu-west-3-bundle.p7b
Europa (Spain) eu-south-2-bundle.pem eu-south-2-bundle.p7b
Europa (Stockholm) eu-north-1-bundle.pem eu-north-1-bundle.p7b
Europa (Zürich) eu-central-2-bundle.pem eu-central-2-bundle.p7b
Israel (Tel Aviv) il-central-1-bundle.pem il-central-1-bundle.p7b
Naher Osten (Bahrain) me-south-1-bundle.pem me-south-1-bundle.p7b
Naher Osten (VAE) me-central-1-bundle.pem me-central-1-bundle.p7b
Südamerika (São Paulo) sa-east-1-bundle.pem sa-east-1-bundle.p7b
Irgendein s AWS GovCloud (US) Region global-bundle.pem global-bundle.p7b
AWS GovCloud (US-Ost) us-gov-east-1-bundle.pem us-gov-east-1-Bundle.p7b
AWS GovCloud (US-West) us-gov-west-1-bundle.pem us-gov-west-1-Bundle.p7b

Den Inhalt Ihres CA-Zertifikats anzeigen

Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen: 

keytool -printcert -v -file global-bundle.pem