AWS Schema Conversion Tool을 사용하여 암호화된 Amazon Relational Database Service(Amazon RDS) 및 Amazon Aurora 데이터베이스에 연결 - AWS Schema Conversion Tool

AWS Schema Conversion Tool을 사용하여 암호화된 Amazon Relational Database Service(Amazon RDS) 및 Amazon Aurora 데이터베이스에 연결

애플리케이션에서 Amazon RDS 또는 Amazon Aurora 데이터베이스로의 암호화된 연결을 열려면 AWS 루트 인증서를 특정 형태의 키 스토리지로 가져와야 합니다. Amazon RDS 사용 설명서의 SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화에서 AWS의 루트 인증서를 다운로드할 수 있습니다.

사용할 수 있는 옵션은 두 가지로, 모든 AWS 리전에 사용할 수 있는 루트 인증서와 이전 루트 인증서 및 새 루트 인증서를 모두 포함하는 인증서 번들입니다.

사용할 항목에 따라 다음 두 절차 중 하나의 단계를 따릅니다.

Windows 시스템 스토리지로 인증서를 가져오려면

  1. 다음 소스 중 하나에서 인증서를 다운로드합니다.

    인증서 다운로드에 자세한 내용은 Amazon RDS 사용 설명서에서 SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화를 참조하세요.

  2. Windows 검색 창에 Manage computer certificates를 입력합니다. 애플리케이션에서 컴퓨터를 변경하도록 허용할지 묻는 메시지가 표시되면 를 선택합니다.

  3. 인증서 창이 열리면 필요한 경우 인증서 목록을 볼 수 있도록 인증서 - 로컬 컴퓨터를 확장합니다. 신뢰할 수 있는 루트 인증 기관에 대한 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열고 모든 작업, 가져오기를 선택합니다.

  4. 다음을 선택한 다음 찾아보기를 선택하여 1단계에서 다운로드한 *.pem 파일을 찾습니다. 열기를 선택하여 인증서 파일을 선택하고 다음을 선택한 다음 완료를 선택합니다.

    참고

    .pem은 표준 인증서 확장자가 아니므로 파일을 찾으려면 브라우저 창에서 파일 유형을 모든 파일(*.*)로 변경합니다.

  5. Microsoft 관리 콘솔에서 인증서를 확장합니다. 신뢰할 수 있는 루트 인증 기관을 확장한 다음 인증서를 선택하고 존재 여부를 확인할 인증서를 찾습니다. 인증서 이름은 Amazon RDS로 시작합니다.

  6. 컴퓨터를 다시 시작합니다.

Java KeyStore로 인증서를 가져오려면

  1. 다음 소스 중 하나에서 인증서를 다운로드합니다.

    인증서 다운로드에 자세한 내용은 Amazon RDS 사용 설명서에서 SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화를 참조하세요.

  2. 인증서 번들을 다운로드한 경우에는 해당 인증서 번들을 개별 인증서 파일로 분할합니다. 이렇게 하려면 -----BEGIN CERTIFICATE-----로 시작하고 -----END CERTIFICATE-----로 끝나는 각 인증서 블록을 개별 *.pem 파일에 배치합니다. 각 인증서에 대한 개별 *.pem 파일을 생성한 후 인증서 번들 파일을 안전하게 제거할 수 있습니다.

  3. 인증서를 다운로드한 디렉터리에서 명령 창 또는 터미널 세션을 열고 이전 단계에서 만든 모든 *.pem 파일에 대해 다음 명령을 실행합니다.

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    다음 예제에서는 eu-west-1-bundle.pem 파일을 다운로드했다고 가정합니다.

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. 키스토어를 AWS SCT에 트러스트 스토어로 추가합니다. 이렇게 하려면 기본 메뉴에서 설정, 전역 설정, 보안, 트러스트 스토어를 선택한 다음 Select existing trust store를 선택합니다.

    트러스트 스토어를 추가한 후 데이터베이스에 대한 AWS SCT 연결을 생성할 때 이 트러스트 스토어를 사용하여 SSL 지원 연결을 구성할 수 있습니다. AWS SCT 데이터베이스에 연결 대화 상자에서 Use SSL을 선택하고 이전에 입력한 트러스트 스토어를 선택합니다.