Otoritas sertifikat Unduh bundel sertifikat

MenggunakanSSL/TLSuntuk mengenkripsi koneksi ke

Anda dapat menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) dari aplikasi Anda untuk mengenkripsi koneksi ke cluster DB yang menjalankan Aurora My SQL atau Aurora Postgre. SQL

SSL/TLSkoneksi menyediakan lapisan keamanan dengan mengenkripsi data yang bergerak antara klien Anda dan . Secara opsional, TLS koneksiSSL/Anda dapat melakukan verifikasi identitas server dengan memvalidasi sertifikat server yang diinstal pada database Anda. Untuk meminta verifikasi identitas server, ikuti proses umum ini:

Pilih Otoritas Sertifikat (CA) yang menandatangani sertifikat server DB, untuk basis data Anda. Untuk informasi selengkapnya tentang otoritas sertifikat, lihat Otoritas sertifikat.
Unduh paket sertifikat yang akan digunakan saat Anda terhubung ke basis data. Untuk mengunduh bundel sertifikat, lihat Bundel sertifikat oleh Wilayah AWS.

catatan
Semua sertifikat hanya tersedia untuk diunduh SSL TLS menggunakan/koneksi.
Connect ke database menggunakan proses DB engine Anda untuk SSL TLS mengimplementasikan/koneksi. Setiap mesin DB memiliki proses sendiri untuk mengimplementasikanSSL/TLS. Untuk mempelajari cara SSL mengimplementasikan/ TLS untuk database Anda, ikuti tautan yang sesuai dengan mesin DB Anda:
- Keamanan dengan Amazon Aurora My SQL
- Keamanan dengan Amazon Aurora Postgre SQL

Otoritas sertifikat

Otoritas Sertifikat (CA) adalah sertifikat yang mengidentifikasi CA root di bagian atas rantai sertifikat. CA menandatangani sertifikat server DB, yang diinstal pada setiap instans DB. Sertifikat server DB mengidentifikasi instans DB sebagai server tepercaya.

Amazon RDS menyediakan berikut ini CAs untuk menandatangani sertifikat server DB untuk database.

Otoritas sertifikat (CA) Deskripsi Nama umum (CN)

Otoritas sertifikat (CA)	Deskripsi	Nama umum (CN)
rds-ca-rsa2048-g1	Menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA256 penandatanganan di sebagian besar Wilayah AWS. Dalam AWS GovCloud (US) Regions, CA ini menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.	Amazon RDS `region-identifier` RSA2048 G1
rds-ca-rsa4096-g1	Menggunakan otoritas sertifikat dengan RSA 4096 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.	Amazon RDS `region-identifier` RSA4096 G1
rds-ca-ecc384-g1	Menggunakan otoritas sertifikat dengan ECC 384 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.	Amazon RDS `region-identifier` ECC384G1

rds-ca-rsa2048-g1

Menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA256 penandatanganan di sebagian besar Wilayah AWS.

Dalam AWS GovCloud (US) Regions, CA ini menggunakan otoritas sertifikat dengan algoritme kunci pribadi RSA 2048 dan algoritma SHA384 penandatanganan.

CA ini mendukung rotasi sertifikat server otomatis.

Amazon RDS region-identifier RSA2048 G1

rds-ca-rsa4096-g1

Menggunakan otoritas sertifikat dengan RSA 4096 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.

Amazon RDS region-identifier RSA4096 G1

rds-ca-ecc384-g1

Menggunakan otoritas sertifikat dengan ECC 384 algoritma kunci pribadi dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.

Amazon RDS region-identifier ECC384G1

catatan

Jika Anda menggunakan AWS CLI, Anda dapat melihat validitas otoritas sertifikat yang tercantum di atas dengan menggunakan deskripsi-sertifikat.

Sertifikat CA ini termasuk dalam paket sertifikat regional dan global. Bila Anda menggunakan rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1, atau rds-ca-ecc 384-g1 CA dengan database, mengelola sertifikat server DB pada database. RDS RDSmemutar sertifikat server DB secara otomatis sebelum kedaluwarsa.

Mengatur CA untuk basis data Anda

Anda dapat mengatur CA untuk basis data saat Anda melakukan tugas berikut:

Buat cluster Aurora DB — Anda dapat mengatur CA untuk instans DB di cluster Aurora saat Anda membuat instans DB pertama di cluster DB menggunakan or. AWS CLI RDS API Saat ini, Anda tidak dapat menyetel CA untuk instans DB di cluster DB saat membuat cluster DB menggunakan RDS konsol. Untuk petunjuk, silakan lihat Membuat klaster DB Amazon Aurora.
Memodifikasi instans DB – Anda dapat mengatur CA untuk instans DB di klaster DB dengan memodifikasinya. Untuk petunjuk, silakan lihat Memodifikasi instans DB dalam klaster DB.

catatan

CA default diatur ke rds-ca-rsa 2048-g1. Anda dapat mengganti CA default untuk Anda Akun AWS dengan menggunakan perintah modify-certificate.

Yang tersedia CAs tergantung pada mesin DB dan versi mesin DB. Bila Anda menggunakan AWS Management Console, Anda dapat memilih CA menggunakan pengaturan otoritas Sertifikat, seperti yang ditunjukkan pada gambar berikut.

Konsol hanya menampilkan CAs yang tersedia untuk mesin DB dan versi mesin DB. Jika Anda menggunakan AWS CLI, Anda dapat mengatur CA untuk instans DB menggunakan modify-db-instanceperintah create-db-instanceor.

Jika Anda menggunakan AWS CLI, Anda dapat melihat yang tersedia CAs untuk akun Anda dengan menggunakan perintah describe-certificate. Perintah ini juga menunjukkan tanggal kedaluwarsa untuk setiap CA di ValidTill dalam output. Anda dapat menemukan CAs yang tersedia untuk mesin DB tertentu dan versi mesin DB menggunakan describe-db-engine-versionsperintah.

Contoh berikut menunjukkan CAs tersedia untuk default RDS untuk versi mesin Postgre SQL DB.


aws rds describe-db-engine-versions --default-only --engine postgres

Output Anda akan seperti yang berikut ini. Yang CAs tersedia tercantum dalamSupportedCACertificateIdentifiers. Output ini juga menunjukkan apakah versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang di SupportsCertificateRotationWithoutRestart.


{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validitas sertifikat server DB

Validitas sertifikat server DB bergantung pada mesin DB dan versi mesin DB. Jika versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang, validitas sertifikat server DB adalah 1 tahun. Jika tidak, validitasnya adalah 3 tahun.

Untuk informasi selengkapnya tentang rotasi sertifikat server DB, lihat Rotasi sertifikat server otomatis.

Melihat CA untuk instans DB Anda

Anda dapat melihat detail tentang CA untuk database dengan melihat tab Konektivitas & keamanan di konsol, seperti pada gambar berikut.

Jika Anda menggunakan AWS CLI, Anda dapat melihat detail tentang CA untuk instans DB dengan menggunakan describe-db-instancesperintah.

Unduh bundel sertifikat untuk Aurora

Saat Anda terhubung ke database dengan SSL atauTLS, instans database memerlukan sertifikat kepercayaan dari AmazonRDS. Pilih tautan yang sesuai di tabel berikut untuk mengunduh bundel yang sesuai dengan Wilayah AWS tempat Anda meng-host database Anda.

Bundel sertifikat oleh Wilayah AWS

Bundel sertifikat untuk semua Wilayah AWS dan Wilayah GovCloud (AS) berisi sertifikat CA root berikut:

rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
rds-ca-ecc384-g1

Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.

catatan

Amazon RDS Proxy dan Aurora Serverless v1 use sertifikat dari AWS Certificate Manager (ACM). Jika Anda menggunakan RDS Proxy, Anda tidak perlu mengunduh RDS sertifikat Amazon atau memperbarui aplikasi yang menggunakan koneksi RDS Proxy. Untuk informasi selengkapnya, lihat MenggunakanTLS/SSLdengan RDS Proxy.

Jika Anda menggunakan Aurora Serverless v1, mengunduh RDS sertifikat Amazon tidak diperlukan. Untuk informasi selengkapnya, lihat MenggunakanTLS/SSLdengan Aurora Serverless v1.

Untuk mengunduh bundel sertifikat Wilayah AWS, pilih tautan untuk Wilayah AWS yang menghosting database Anda di tabel berikut.

AWS Wilayah	Bundel sertifikat (PEM)	Bundel sertifikat (PKCS7)
Komersil apa pun Wilayah AWS	global-bundle.pem	global-bundle.p7b
AS Timur (Virginia Utara)	us-east-1-bundle.pem	us-east-1-bundle.p7b
AS Timur (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
AS Barat (California Utara)	us-west-1-bundle.pem	us-west-1-bundle.p7b
AS Barat (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Afrika (Cape Town)	af-south-1-bundle.pem	af-south-1-bundle.p7b
Asia Pasifik (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asia Pasifik (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asia Pasifik (Jakarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asia Pasifik (Malaysia)	ap-tenggara 5-bundel.pem	ap-tenggara 5-bundel.p7b
Asia Pasifik (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia Pasifik (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pasifik (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pasifik (Tokyo)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pasifik (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pasifik (Singapura)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pasifik (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Kanada (Pusat)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Kanada Barat (Calgary)	ca-barat-1-bundle.pem	ca-barat-1-bundle.p7b
Eropa (Frankfurt)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Eropa (Irlandia)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Eropa (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Eropa (Milan)	eu-south-1-bundle.pem	eu-south-1-bundle.p7b
Eropa (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Eropa (Spanyol)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Eropa (Stockholm)	eu-north-1-bundle.pem	eu-north-1-bundle.p7b
Eropa (Zürich)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Israel (Tel Aviv)	il-central-1-bundle.pem	il-central-1-bundle.p7b
Timur Tengah (Bahrain)	me-south-1-bundle.pem	me-south-1-bundle.p7b
Timur Tengah (UAE)	me-central-1-bundle.pem	me-central-1-bundle.p7b
Amerika Selatan (Sao Paulo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b
Setiap AWS GovCloud (US) Region s	global-bundle.pem	global-bundle.p7b
AWS GovCloud (AS-Timur)	us-gov-east-1-bundel.pem	us-gov-east-1-bundel.p7b
AWS GovCloud (AS-Barat)	us-gov-west-1-bundel.pem	us-gov-west-1-bundel.p7b

Melihat isi sertifikat CA Anda

Untuk memeriksa konten paket sertifikat CA Anda, gunakan perintah berikut:


keytool -printcert -v -file global-bundle.pem

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS KMS key pengelolaan

Memutar sertifikat SSL TLS /Anda