本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon Relational Database Service 和 Amazon Aurora 数据库连接到加密的 AWS Schema Conversion Tool
要从应用程序打开与 Amazon RDS 或 Amazon Aurora 数据库的加密连接,您需要将 AWS 根证书导入某种形式的密钥存储中。您可以从 AWS *Amazon RDS 用户指南*中的 “[使用 SSL/TLS 加密数据库实例连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)” 中下载根证书。
有两个选项可供选择,一个适用于所有 AWS 区域的根证书和一个包含新旧根证书的证书包。
根据您要使用的服务,请按照以下两个过程之一的步骤操作。
**将一个或多个证书导入 Windows 系统存储器**
1. 从以下来源之一下载一个或多个证书:
有关下载证书的信息,请参阅 *Amazon RDS 用户指南*中的[使用 SSL/TLS 加密与数据库实例的连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)。
1. 在 Windows 搜索窗口中,输入 **Manage computer certificates**。当系统提示是否允许应用程序对您的计算机进行更改时,选择**是**。
1. 当证书窗口打开时,如果需要,请展开**证书 - 本地计算机**,以便看到证书列表。打开**受信任的根证书颁发机构**的上下文(右键单击)菜单,然后选择**所有任务**和**导入**。
1. 选择**下一步**,然后选择**浏览**,再找到您在步骤 1 中下载的 `*.pem` 文件。选择**打开**以选择证书文件,然后选择**下一步**,再选择**完成**。
**注意**
要找到文件,在浏览窗口中将文件类型更改为**所有文件 (\$1.\$1)**,因为 `.pem` 不是标准证书扩展名。
1. 在 Microsoft 管理控制台中,展开**证书**。然后展开**受信任的根证书颁发机构**,选择**证书**,找到证书以确认其存在。证书的名称以 `Amazon RDS` 开头。
1. 重新启动您的计算机。
**将一个或多个证书导入 Java KeyStore**
1. 从以下来源之一下载一个或多个证书:
有关下载证书的信息,请参阅 *Amazon RDS 用户指南*中的[使用 SSL/TLS 加密与数据库实例的连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)。
1. 如果已下载了证书捆绑包,请将其拆分为单独的证书文件。为此,请将每个证书块(以 `-----BEGIN CERTIFICATE-----` 开头和以 `-----END CERTIFICATE-----` 结尾)放入单独的 `*.pem` 文件中。为每个证书创建单独的 `*.pem` 文件后,您可以安全地删除证书包捆绑包文件。
1. 在您下载证书的目录中打开命令窗口或终端会话,然后对上一步中创建的每个 `*.pem` 文件运行以下命令。
```
keytool -importcert -file .pem -alias .pem -keystore storename
```
**Example**
以下示例假定您已下载 `eu-west-1-bundle.pem` 文件。
```
keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98 F4 2B 17 34 2E 36 5A A6 s_`......+.4.6Z.
0010: 60 FF BC 1F `...
]
]
#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
Key_CertSign
Crl_Sign
]
#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98 F4 2B 17 34 2E 36 5A A6 s_`......+.4.6Z.
0010: 60 FF BC 1F `...
]
]
Trust this certificate? [no]: yes
Certificate was added to keystore
```
1. 将密钥库作为信任存储添加到中。 AWS SCT为此,请从主菜单中选择**设置**、**全局设置**、**安全**、**信任存储**,然后选择**选择现有信任存储**。
添加信任存储库后,可以在创建数据库连接时使用它来配置启用 SSL 的 AWS SCT 连接。在 “ AWS SCT **Connect to Database**” 对话框中,选择 “**使用 SSL**”,然后选择之前输入的信任存储库。