- Amazon Relational Database Service

Autorità di certificazione Scarica i pacchetti di certificati

È possibile utilizzare Secure Socket Layer (SSL) o Transport Layer Security (TLS) dall'applicazione per crittografare una connessione a un database che esegue Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle o Postgre. SQL

SSL Facoltativamente, la TLS connessioneSSL/può eseguire la verifica dell'identità del server convalidando il certificato del server installato nel database. Per richiedere la verifica dell'identità del server, esegui questa procedura generale:

Scegli l'autorità di certificazione (CA) che firma il certificato del server di database per il database. Per ulteriori informazioni sulle autorità di certificazione, consulta Autorità di certificazione.
Scarica un bundle di certificati da utilizzare quando ti connetti al database. Pacchetti di certificati di Regione AWS.

Nota
Tutti i certificati possono essere scaricati solo tramite SSL TLS /connections.
Connettiti al database utilizzando il processo del tuo motore DB per l'implementazione delle TLS connessioni SSL /. Ogni motore DB ha il proprio processo per l'implementazione diSSL/TLS. Per sapere come implementareSSL/TLSper il tuo database, segui il link che corrisponde al tuo motore DB:

Autorità di certificazione

L'autorità di certificazione (CA) è il certificato che identifica la CA root della catena di certificati. La CA firma il certificato del server di database, che è il certificato del server installato su ogni istanza database. Il certificato del server di database identifica l'istanza database come server attendibile.

Amazon RDS fornisce quanto segue CAs per firmare il certificato del server DB per un database.

Autorità di certificazione (CA) Descrizione Common name (CN) (Nome comune)

Autorità di certificazione (CA)	Descrizione	Common name (CN) (Nome comune)
rds-ca-rsa2048-g1	Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e SHA256 algoritmo di firma nella maggior parte dei casi. Regioni AWS Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di SHA384 firma. supporta la rotazione automatica dei certificati del server.	Amazon RDS `region-identifier` RSA2048 G1
rds-ca-rsa4096-g1	Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.	Amazon RDS `region-identifier` RSA4096 G1
rds-ca-ecc384 g1	Utilizza un'autorità di certificazione con algoritmo a chiave privata ECC 384 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.	Amazon RDS `region-identifier` ECC384G1

rds-ca-rsa2048-g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e SHA256 algoritmo di firma nella maggior parte dei casi. Regioni AWS

Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di SHA384 firma.

supporta la rotazione automatica dei certificati del server.

Amazon RDS region-identifier RSA2048 G1

rds-ca-rsa4096-g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.

Amazon RDS region-identifier RSA4096 G1

rds-ca-ecc384 g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata ECC 384 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.

Amazon RDS region-identifier ECC384G1

Nota

Se si utilizza il AWS CLI, è possibile visualizzare le validità delle autorità di certificazione sopra elencate utilizzando describe-certificates.

Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando si utilizza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, gestisce il certificato del server DB sul database. RDS RDSruota automaticamente il certificato del server DB prima della scadenza.

Impostazione della CA per il database

Puoi impostare la CA per un database quando esegui le seguenti attività:

Crea un'istanza DB o un cluster DB Multi-AZ: puoi impostare la CA quando crei un'istanza o un cluster DB. Per istruzioni, consulta Creazione di un'istanza Amazon RDS DB o Creazione di un cluster DB Multi-AZ per Amazon RDS.
Modifica un'istanza DB o un cluster DB Multi-AZ: è possibile impostare la CA per un'istanza o un cluster DB modificandola. Per istruzioni, consulta Modifica di un'istanza Amazon RDS DB o Modifica di un cluster DB Multi-AZ per Amazon RDS.

Nota

La CA predefinita è impostata su rds-ca-rsa 2048-g1. È possibile sovrascrivere la CA predefinita per il proprio Account AWS utilizzando il comando modify-certificates.

Le opzioni disponibili CAs dipendono dal motore DB e dalla versione del motore DB. Quando si utilizza il AWS Management Console, è possibile scegliere la CA utilizzando l'impostazione dell'autorità di certificazione, come mostrato nell'immagine seguente.

Opzione Certificate authority (Autorità di certificazione)

La console mostra solo CAs le versioni disponibili per il motore DB e la versione del motore DB. Se si utilizza il AWS CLI, è possibile impostare la CA per un'istanza DB utilizzando il modify-db-instancecomando create-db-instanceor. È possibile impostare la CA per un cluster DB Multi-AZ utilizzando il modify-db-clustercomando create-db-clusteror.

Se utilizzi il AWS CLI, puoi vedere quello disponibile CAs per il tuo account utilizzando il comando describe-certificates. Questo comando mostra nell'output anche la data di scadenza per ogni CA in ValidTill. Puoi trovare CAs quelli disponibili per uno specifico motore DB e una versione del motore DB utilizzando il comando. describe-db-engine-versions

L'esempio seguente mostra la CAs disponibilità come predefinita RDS per la versione del motore Postgre SQL DB.


aws rds describe-db-engine-versions --default-only --engine postgres

L'output è simile a quello riportato di seguito. I disponibili CAs sono elencati in. SupportedCACertificateIdentifiers L'output mostra anche se la versione del motore di database supporta la rotazione del certificato senza riavvio in SupportsCertificateRotationWithoutRestart.


{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validità dei certificati del server di database

La validità del certificato del server di database dipende dal motore di database e dalla versione del motore di database. Se la versione del motore di database supporta la rotazione del certificato senza riavvio, la validità del certificato del server di database è di 1 anno. In caso contrario, la validità è di 3 anni.

Per ulteriori informazioni sulla rotazione dei certificati del server di database, consulta Rotazione automatica dei certificati del server.

Visualizzazione della CA per l'istanza DB

È possibile visualizzare i dettagli sulla CA di un database visualizzando la scheda Connettività e sicurezza nella console, come nell'immagine seguente.

Dettagli dell'autorità di certificazione

Se si utilizza il AWS CLI, è possibile visualizzare i dettagli sulla CA per un'istanza DB utilizzando il describe-db-instancescomando. È possibile visualizzare i dettagli sulla CA per un cluster DB Multi-AZ utilizzando il describe-db-clusterscomando.

Quando ti connetti al database con SSL oTLS, l'istanza del database richiede un certificato di fiducia di AmazonRDS. Seleziona il link appropriato nella tabella seguente per scaricare il pacchetto corrispondente al Regione AWS luogo in cui ospiti il database.

Pacchetti di certificati di Regione AWS

I pacchetti di certificati per tutte le regioni Regioni AWS e GovCloud (Stati Uniti) contengono i seguenti certificati CA root:

rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
rds-ca-ecc384-g1

L'application trust store deve solo registrare il certificato CA principale.

Nota

Amazon RDS Proxy utilizza i certificati di AWS Certificate Manager (ACM). Se utilizzi RDS Proxy, non è necessario scaricare RDS certificati Amazon o aggiornare applicazioni che utilizzano connessioni RDS Proxy. Per ulteriori informazioni, consulta Utilizzo diTLS/SSLcon Proxy RDS.

Per scaricare un pacchetto di certificati per un Regione AWS, seleziona il link Regione AWS che ospita il database nella tabella seguente.

AWS Region	Pacchetto di certificati () PEM	Pacchetto di certificati () PKCS7
Qualsiasi pubblicità Regione AWS	global-bundle.pem	global-bundle.p7b
Stati Uniti orientali (Virginia settentrionale)	us-east-1-bundle.pem	us-east-1-bundle.p7b
US East (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
US West (N. California)	us-west-1-bundle.pem	us-west-1-bundle.p7b
US West (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Africa (Cape Town)	af-south-1-bundle.pem	af-sud-1-bundle.p7b
Asia Pacific (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asia Pacific (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asia Pacifico (Giacarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asia Pacifico (Malesia)	ap-southeast-5-bundle.pem	ap-southeast-5-bundle.p7b
Asia Pacifico (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia Pacifico (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pacific (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pacific (Tokyo)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pacific (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pacific (Singapore)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pacific (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Canada (Central)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Canada occidentale (Calgary)	ca-west-1-bundle.pem	ca-west-1-bundle.p7b
Europa (Francoforte)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Europe (Ireland)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Europe (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Europe (Milan)	eu-south-1-bundle.pem	eu-sud-1-bundle.p7b
Europe (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Europa (Spagna)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Europa (Stoccolma)	eu-nord-1-bundle.pem	eu-nord-1-bundle.p7b
Europa (Zurigo)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Israele (Tel Aviv)	il-central-1-bundle.pem	il-central-1-bundle.p7b
Middle East (Bahrain)	me-sud-1-bundle.pem	me-sud-1-bundle.p7b
Medio Oriente () UAE	me-central-1-bundle.pem	me-central-1-bundle.p7b
Sud America (San Paolo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b
Qualsiasi AWS GovCloud (US) Region s	global-bundle.pem	global-bundle.p7b
AWS GovCloud (Stati Uniti orientali)	us-gov-east-1 bundle.pem	us-gov-east-1 pacchetto.p7b
AWS GovCloud (Stati Uniti occidentali)	us-gov-west-1 bundle.pem	us-gov-west-1 pacchetto.p7b

Visualizzazione del contenuto del certificato CA

Per verificare il contenuto del bundle di certificati CA, utilizza il comando seguente:


keytool -printcert -v -file global-bundle.pem

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS KMS key gestione

Rotazione del certificato/SSLTLS