Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo TLS diSSL/per crittografare una connessione a un'
È possibile utilizzare Secure Socket Layer (SSL) o Transport Layer Security (TLS) dall'applicazione per crittografare una connessione a un cluster DB che esegue Aurora My SQL o Aurora Postgre. SQL
SSL Facoltativamente, la TLS connessioneSSL/può eseguire la verifica dell'identità del server convalidando il certificato del server installato nel database. Per richiedere la verifica dell'identità del server, esegui questa procedura generale:
-
Scegli l'autorità di certificazione (CA) che firma il certificato del server di database per il database. Per ulteriori informazioni sulle autorità di certificazione, consulta Autorità di certificazione.
-
Scarica un bundle di certificati da utilizzare quando ti connetti al database. Pacchetti di certificati di Regione AWS.
Nota
Tutti i certificati possono essere scaricati solo tramite SSL TLS /connections.
-
Connettiti al database utilizzando il processo del tuo motore DB per l'implementazione delle TLS connessioni SSL /. Ogni motore DB ha il proprio processo per l'implementazione diSSL/TLS. Per sapere come implementareSSL/TLSper il tuo database, segui il link che corrisponde al tuo motore DB:
Autorità di certificazione
L'autorità di certificazione (CA) è il certificato che identifica la CA root della catena di certificati. La CA firma il certificato del server di database, che è il certificato del server installato su ogni istanza database. Il certificato del server di database identifica l'istanza database come server attendibile.
Amazon RDS fornisce quanto segue CAs per firmare il certificato del server DB per un database.
| Autorità di certificazione (CA) | Descrizione | Common name (CN) (Nome comune) |
|---|---|---|
|
rds-ca-rsa2048-g1 |
Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e SHA256 algoritmo di firma nella maggior parte dei casi. Regioni AWS Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di SHA384 firma. supporta la rotazione automatica dei certificati del server. |
Amazon RDS region-identifier RSA2048 G1 |
|
rds-ca-rsa4096-g1 |
Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server. |
Amazon RDS region-identifier RSA4096 G1 |
|
rds-ca-ecc384 g1 |
Utilizza un'autorità di certificazione con algoritmo a chiave privata ECC 384 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server. |
Amazon RDS region-identifier ECC384G1 |
Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando si utilizza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, gestisce il certificato del server DB sul database. RDS RDSruota automaticamente il certificato del server DB prima della scadenza.
Impostazione della CA per il database
Puoi impostare la CA per un database quando esegui le seguenti attività:
-
Crea un cluster Aurora DB: puoi impostare la CA per un'istanza DB in un cluster Aurora quando crei la prima istanza DB nel cluster DB utilizzando o. AWS CLI RDS API Attualmente, non è possibile impostare la CA per le istanze DB in un cluster DB quando si crea il cluster DB utilizzando la console. RDS Per istruzioni, consulta Creazione di un cluster database Amazon Aurora.
-
Modifica di un'istanza database: puoi impostare la CA per un'istanza database in un cluster database modificandola. Per istruzioni, consulta Modifica di un'istanza database in un cluster database.
Nota
La CA predefinita è impostata su rds-ca-rsa 2048-g1. È possibile sovrascrivere la CA predefinita per il proprio Account AWS utilizzando il comando modify-certificates.
Le opzioni disponibili CAs dipendono dal motore DB e dalla versione del motore DB. Quando si utilizza il AWS Management Console, è possibile scegliere la CA utilizzando l'impostazione dell'autorità di certificazione, come mostrato nell'immagine seguente.
La console mostra solo CAs le versioni disponibili per il motore DB e la versione del motore DB. Se si utilizza il AWS CLI, è possibile impostare la CA per un'istanza DB utilizzando il modify-db-instancecomando create-db-instanceor.
Se utilizzi il AWS CLI, puoi vedere quello disponibile CAs per il tuo account utilizzando il comando describe-certificates. Questo comando mostra nell'output anche la data di scadenza per ogni CA in ValidTill. Puoi trovare CAs quelli disponibili per uno specifico motore DB e una versione del motore DB utilizzando il comando. describe-db-engine-versions
L'esempio seguente mostra la CAs disponibilità come predefinita RDS per la versione del motore Postgre SQL DB.
aws rds describe-db-engine-versions --default-only --engine postgres
L'output è simile a quello riportato di seguito. I disponibili CAs sono elencati in. SupportedCACertificateIdentifiers L'output mostra anche se la versione del motore di database supporta la rotazione del certificato senza riavvio in SupportsCertificateRotationWithoutRestart.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}Validità dei certificati del server di database
La validità del certificato del server di database dipende dal motore di database e dalla versione del motore di database. Se la versione del motore di database supporta la rotazione del certificato senza riavvio, la validità del certificato del server di database è di 1 anno. In caso contrario, la validità è di 3 anni.
Per ulteriori informazioni sulla rotazione dei certificati del server di database, consulta Rotazione automatica dei certificati del server.
Visualizzazione della CA per l'istanza DB
È possibile visualizzare i dettagli sulla CA di un database visualizzando la scheda Connettività e sicurezza nella console, come nell'immagine seguente.
Se si utilizza il AWS CLI, è possibile visualizzare i dettagli sulla CA per un'istanza DB utilizzando il describe-db-instancescomando.
Scarica i pacchetti di certificati per
Quando ti connetti al database con SSL oTLS, l'istanza del database richiede un certificato di fiducia di AmazonRDS. Seleziona il link appropriato nella tabella seguente per scaricare il pacchetto corrispondente al Regione AWS luogo in cui ospiti il database.
Pacchetti di certificati di Regione AWS
I pacchetti di certificati per tutte le regioni Regioni AWS e GovCloud (Stati Uniti) contengono i seguenti certificati CA root:
-
rds-ca-rsa2048-g1 -
rds-ca-rsa4096-g1 -
rds-ca-ecc384-g1
L'application trust store deve solo registrare il certificato CA principale.
Nota
Amazon RDS Proxy e Aurora Serverless v1 use i certificati di AWS Certificate Manager (ACM). Se utilizzi RDS Proxy, non è necessario scaricare RDS certificati Amazon o aggiornare applicazioni che utilizzano connessioni RDS Proxy. Per ulteriori informazioni, consulta Utilizzo diTLS/SSLcon Proxy RDS.
Se stai usando Aurora Serverless v1, non è necessario scaricare RDS i certificati Amazon. Per ulteriori informazioni, consulta Usare/con TLS SSL Aurora Serverless v1.
Per scaricare un pacchetto di certificati per un Regione AWS, seleziona il link Regione AWS che ospita il database nella tabella seguente.
Visualizzazione del contenuto del certificato CA
Per verificare il contenuto del bundle di certificati CA, utilizza il comando seguente:
keytool -printcert -v -file global-bundle.pem
