Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

PDF
RSS
Mode fokus
- Layanan Basis Data Relasional Amazon
Otoritas sertifikatUnduh bundel sertifikat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) dari aplikasi Anda untuk mengenkripsi koneksi ke database yang menjalankan Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle, atau PostgreSQL.

Secara opsional, koneksi SSL/TLS Anda dapat melakukan verifikasi identitas server dengan memvalidasi sertifikat server yang diinstal pada database Anda. Untuk meminta verifikasi identitas server, ikuti proses umum ini:

  1. Pilih Otoritas Sertifikat (CA) yang menandatangani sertifikat server DB, untuk basis data Anda. Untuk informasi selengkapnya tentang otoritas sertifikat, lihat Otoritas sertifikat.

  2. Unduh paket sertifikat yang akan digunakan saat Anda terhubung ke basis data. Untuk mengunduh bundel sertifikat, lihat Bundel sertifikat oleh Wilayah AWS.

    catatan

    Semua sertifikat hanya tersedia untuk diunduh menggunakan koneksi SSL/TLS.

  3. Connect ke database menggunakan proses DB engine Anda SSL/TLS connections. Each DB engine has its own process for implementing SSL/TLS. To learn how to implement SSL/TLS untuk mengimplementasikan database Anda, ikuti link yang sesuai dengan mesin DB Anda:

Otoritas sertifikat

Otoritas Sertifikat (CA) adalah sertifikat yang mengidentifikasi CA root di bagian atas rantai sertifikat. CA menandatangani sertifikat server DB, yang diinstal pada setiap instans DB. Sertifikat server DB mengidentifikasi instans DB sebagai server tepercaya.

Gambaran umum otoritas sertifikat

Amazon RDS menyediakan yang berikut ini CAs untuk menandatangani sertifikat server DB untuk database.

Otoritas sertifikat (CA) Deskripsi Nama umum (CN)

rds-ca-rsa2048-g1

Menggunakan otoritas sertifikat dengan algoritma kunci pribadi RSA 2048 dan algoritma SHA256 penandatanganan di sebagian besar. Wilayah AWS

Dalam AWS GovCloud (US) Regions, CA ini menggunakan otoritas sertifikat dengan algoritma kunci pribadi RSA 2048 dan algoritma SHA384 penandatanganan.

CA ini mendukung rotasi sertifikat server otomatis.

 Amazon RDS region-identifier RSA2 048 G1

rds-ca-rsa4096-g1

Menggunakan otoritas sertifikat dengan algoritma kunci pribadi RSA 4096 dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.

Amazon RDS region-identifier RSA4 096 G1

rds-ca-ecc384-g1

Menggunakan otoritas sertifikat dengan algoritma kunci pribadi ECC 384 dan algoritma SHA384 penandatanganan. CA ini mendukung rotasi sertifikat server otomatis.

Amazon RDS G1 region-identifier ECC384
catatan

Jika Anda menggunakan AWS CLI, Anda dapat melihat validitas otoritas sertifikat yang tercantum di atas dengan menggunakan deskripsi-sertifikat.

Sertifikat CA ini termasuk dalam paket sertifikat regional dan global. Bila Anda menggunakan rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1, atau rds-ca-ecc 384-g1 CA dengan database, RDS mengelola sertifikat server DB pada database. RDS merotasi sertifikat server DB secara otomatis sebelum sertifikat ini kedaluwarsa.

Mengatur CA untuk basis data Anda

Anda dapat mengatur CA untuk basis data saat Anda melakukan tugas berikut:

catatan

CA default diatur ke rds-ca-rsa 2048-g1. Anda dapat mengganti CA default untuk Anda Akun AWS dengan menggunakan perintah modify-certificate.

Yang tersedia CAs tergantung pada mesin DB dan versi mesin DB. Bila Anda menggunakan AWS Management Console, Anda dapat memilih CA menggunakan pengaturan otoritas Sertifikat, seperti yang ditunjukkan pada gambar berikut.

Opsi otoritas sertifikat

Konsol hanya menampilkan CAs yang tersedia untuk mesin DB dan versi mesin DB. Jika Anda menggunakan AWS CLI, Anda dapat mengatur CA untuk instans DB menggunakan modify-db-instanceperintah create-db-instanceor. Anda dapat mengatur CA untuk cluster DB multi-AZ menggunakan modify-db-clusterperintah create-db-clusteror.

Jika Anda menggunakan AWS CLI, Anda dapat melihat yang tersedia CAs untuk akun Anda dengan menggunakan perintah describe-certificate. Perintah ini juga menunjukkan tanggal kedaluwarsa untuk setiap CA di ValidTill dalam output. Anda dapat menemukan CAs yang tersedia untuk mesin DB tertentu dan versi mesin DB menggunakan describe-db-engine-versionsperintah.

Contoh berikut menunjukkan CAs tersedia untuk RDS default untuk versi mesin PostgreSQL DB.

aws rds describe-db-engine-versions --default-only --engine postgres

Output Anda akan seperti yang berikut ini. Yang CAs tersedia tercantum dalamSupportedCACertificateIdentifiers. Output ini juga menunjukkan apakah versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang di SupportsCertificateRotationWithoutRestart.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validitas sertifikat server DB

Validitas sertifikat server DB bergantung pada mesin DB dan versi mesin DB. Jika versi mesin DB mendukung rotasi sertifikat tanpa pengaktifan ulang, validitas sertifikat server DB adalah 1 tahun. Jika tidak, validitasnya adalah 3 tahun.

Untuk informasi selengkapnya tentang rotasi sertifikat server DB, lihat Rotasi sertifikat server otomatis.

Melihat CA untuk instans DB Anda

Anda dapat melihat detail tentang CA untuk database dengan melihat tab Konektivitas & keamanan di konsol, seperti pada gambar berikut.

Detail otoritas sertifikat

Jika Anda menggunakan AWS CLI, Anda dapat melihat detail tentang CA untuk instans DB dengan menggunakan describe-db-instancesperintah. Anda dapat melihat detail tentang CA untuk cluster DB multi-AZ dengan menggunakan describe-db-clustersperintah.

Saat Anda terhubung ke database dengan SSL atau TLS, instance database memerlukan sertifikat kepercayaan dari Amazon RDS. Pilih tautan yang sesuai di tabel berikut untuk mengunduh bundel yang sesuai dengan Wilayah AWS tempat Anda meng-host database Anda.

Bundel sertifikat oleh Wilayah AWS

Bundel sertifikat untuk semua Wilayah AWS dan Wilayah GovCloud (AS) berisi sertifikat CA root berikut:

  • rds-ca-rsa2048-g1

  • rds-ca-rsa4096-g1

  • rds-ca-ecc384-g1

rds-ca-ecc384-g1Sertifikat rds-ca-rsa4096-g1 dan sertifikat tidak tersedia di Wilayah berikut:

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Melbourne)

  • Kanada Barat (Calgary)

  • Eropa (Zürich)

  • Eropa (Spanyol)

  • Israel (Tel Aviv)

Toko kepercayaan aplikasi Anda hanya perlu mendaftarkan sertifikat CA root.

catatan

Proxy RDS Amazon menggunakan sertifikat dari AWS Certificate Manager (ACM). Jika Anda menggunakan RDS Proxy, Anda tidak perlu mengunduh sertifikat Amazon RDS atau memperbarui aplikasi yang menggunakan koneksi Proxy RDS. Untuk informasi selengkapnya, lihat MenggunakanTLS/SSLdengan RDS Proxy.

Untuk mengunduh bundel sertifikat Wilayah AWS, pilih tautan untuk Wilayah AWS yang menghosting database Anda di tabel berikut.

AWS Wilayah Paket sertifikat (PEM) Bundel sertifikat (PKCS7)
Komersil apa pun Wilayah AWS global-bundle.pem global-bundle.p7b
AS Timur (Virginia Utara) us-east-1-bundle.pem us-east-1-bundle.p7b
AS Timur (Ohio) us-east-2-bundle.pem us-east-2-bundle.p7b
AS Barat (California Utara) us-west-1-bundle.pem us-west-1-bundle.p7b
AS Barat (Oregon) us-west-2-bundle.pem us-west-2-bundle.p7b
Afrika (Cape Town) af-south-1-bundle.pem af-south-1-bundle.p7b
Asia Pasifik (Hong Kong) ap-east-1-bundle.pem ap-east-1-bundle.p7b
Asia Pasifik (Hyderabad) ap-south-2-bundle.pem ap-south-2-bundle.p7b
Asia Pasifik (Jakarta) ap-southeast-3-bundle.pem ap-southeast-3-bundle.p7b
Asia Pasifik (Malaysia) ap-tenggara 5-bundel.pem ap-tenggara 5-bundel.p7b
Asia Pasifik (Melbourne) ap-southeast-4-bundle.pem ap-southeast-4-bundle.p7b
Asia Pasifik (Mumbai) ap-south-1-bundle.pem ap-south-1-bundle.p7b
Asia Pasifik (Osaka) ap-northeast-3-bundle.pem ap-northeast-3-bundle.p7b
Asia Pasifik (Thailand) ap-tenggara 7-bundel.pem ap-tenggara 7-bundel.p7b
Asia Pasifik (Tokyo) ap-northeast-1-bundle.pem ap-northeast-1-bundle.p7b
Asia Pasifik (Seoul) ap-northeast-2-bundle.pem ap-northeast-2-bundle.p7b
Asia Pasifik (Singapura) ap-southeast-1-bundle.pem ap-southeast-1-bundle.p7b
Asia Pasifik (Sydney) ap-southeast-2-bundle.pem ap-southeast-2-bundle.p7b
Kanada (Pusat) ca-central-1-bundle.pem ca-central-1-bundle.p7b
Kanada Barat (Calgary) ca-barat-1-bundle.pem ca-barat-1-bundle.p7b
Eropa (Frankfurt) eu-central-1-bundle.pem eu-central-1-bundle.p7b
Eropa (Irlandia) eu-west-1-bundle.pem eu-west-1-bundle.p7b
Eropa (London) eu-west-2-bundle.pem eu-west-2-bundle.p7b
Eropa (Milan) eu-south-1-bundle.pem eu-south-1-bundle.p7b
Eropa (Paris) eu-west-3-bundle.pem eu-west-3-bundle.p7b
Eropa (Spanyol) eu-south-2-bundle.pem eu-south-2-bundle.p7b
Eropa (Stockholm) eu-north-1-bundle.pem eu-north-1-bundle.p7b
Eropa (Zürich) eu-central-2-bundle.pem eu-central-2-bundle.p7b
Israel (Tel Aviv) il-central-1-bundle.pem il-central-1-bundle.p7b
Meksiko (Tengah) mx-sentral-1-bundel.pem mx-sentral-1-bundel.p7b
Timur Tengah (Bahrain) me-south-1-bundle.pem me-south-1-bundle.p7b
Timur Tengah (UEA) me-central-1-bundle.pem me-central-1-bundle.p7b
Amerika Selatan (Sao Paulo) sa-east-1-bundle.pem sa-east-1-bundle.p7b
Setiap AWS GovCloud (US) Region s global-bundle.pem global-bundle.p7b
AWS GovCloud (AS-Timur) us-gov-east-1-bundel.pem us-gov-east-1-bundel.p7b
AWS GovCloud (AS-Barat) us-gov-west-1-bundel.pem us-gov-west-1-bundel.p7b

Melihat isi sertifikat CA Anda

Untuk memeriksa konten paket sertifikat CA Anda, gunakan perintah berikut: 

keytool -printcert -v -file global-bundle.pem

Di halaman ini

Related resources

Amazon RDS Referensi API
AWS CLI perintah untuk Amazon RDS
SDKs & Alat 

Related resources

Amazon RDS Referensi API
AWS CLI perintah untuk Amazon RDS
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.