Conexión a las bases de datos de Amazon Relational Database Service y Amazon Aurora cifradas con AWS Schema Conversion Tool - AWS Schema Conversion Tool

Conexión a las bases de datos de Amazon Relational Database Service y Amazon Aurora cifradas con AWS Schema Conversion Tool

Para abrir conexiones cifradas a bases de datos de Amazon RDS o Amazon Aurora desde una aplicación, debe importar los certificados raíz de AWS a algún tipo de almacenamiento de claves. Puede descargar los certificados raíz de AWS en Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos de la Guía del usuario de Amazon RDS.

Hay dos opciones disponibles: un certificado raíz que funciona en todas las regiones de AWS y un paquete de certificados que contiene tanto los certificados raíz antiguos como los nuevos.

En función de la opción que desee utilizar, siga los pasos de uno de estos dos procedimientos.

Para importar el certificado o los certificados al almacenamiento del sistema de Windows

  1. Descargue uno o varios certificados de uno de los siguientes orígenes:

    Para obtener más información sobre la descarga de certificados, consulte Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos en la Guía del usuario de Amazon RDS.

  2. En la ventana de búsqueda de Windows, introduzca Manage computer certificates. Cuando se le pregunte si desea permitir que la aplicación realice cambios en su equipo, seleccione .

  3. Cuando se abra la ventana de certificados, si es necesario, expanda Certificados: equipo local para ver la lista de certificados. Abra el menú contextual (clic secundario) de Entidades de certificación raíz de confianza y, a continuación, elija Todas las tareas, Importar.

  4. Seleccione Siguiente y, a continuación, Examinar y busque el archivo *.pem que descargó en el paso 1. Elija Abrir para seleccionar el archivo de certificado, elija Siguiente y, a continuación, elija Terminar.

    nota

    Para buscar un archivo, cambie el tipo de archivo en la ventana de navegación a Todos los archivos (*.*), ya que .pem no es una extensión de certificado estándar.

  5. En Microsoft Management Console, expanda Certificados. A continuación, expanda Entidades de certificación raíz de confianza, seleccione Certificados y busque el certificado para confirmar que existe. El nombre del certificado empieza por Amazon RDS.

  6. Reinicie el equipo.

Para importar el certificado o los certificados al almacén de claves de Java

  1. Descargue uno o varios certificados de uno de los siguientes orígenes:

    Para obtener más información sobre la descarga de certificados, consulte Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos en la Guía del usuario de Amazon RDS.

  2. Si descargó el paquete de certificados, divídalo en archivos de certificados individuales. Para ello, coloque cada bloque de certificados que comience por -----BEGIN CERTIFICATE----- y termine por -----END CERTIFICATE----- en archivos *.pem independientes. Una vez que haya creado un archivo *.pem independiente para cada certificado, puede eliminar de forma segura el archivo del paquete de certificados.

  3. Abra una ventana de comandos o una sesión de terminal en el directorio en el que descargó el certificado y ejecute el siguiente comando para cada archivo *.pem que haya creado en el paso anterior.

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    En el ejemplo siguiente se presupone que ha descargado el archivo eu-west-1-bundle.pem.

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. Agregue el almacén de claves como almacén de confianza en AWS SCT. Para ello, en el menú principal, seleccione Configuración, Configuración global, Seguridad, Almacén de confianza y, a continuación, Seleccionar almacén de confianza existente.

    Tras agregar el almacén de confianza, puede utilizarlo para configurar una conexión con SSL al crear una conexión de AWS SCT a la base de datos. En el cuadro de diálogo Conectar a la base de datos de AWS SCT, elija Usar SSL y elija el almacén de confianza introducido anteriormente.