本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用應用程式的安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來加密與執行 Db2、MariaDB、Microsoft SQL 伺服器、MySQL、甲骨文或 PostgreSQL 之資料庫的連線。
或者,您的 SSL/TLS 連線可以透過驗證資料庫上安裝的伺服器憑證來執行伺服器身分驗證。若需要伺服器身分驗證,請依照此一般程序進行:
-
為您的資料庫選擇簽署資料庫伺服器憑證的憑證認證機構 (CA)。如需有關憑證認證機構的詳細資訊,請參閱 憑證授權單位。
-
下載憑證套件,以便在連線至資料庫時使用。若要下載憑證套件,請參閱 所有人的憑證套件 AWS 區域 和 特定的憑證組合 AWS 區域。
注意
所有憑證都只能使用 SSL/TLS 連線來下載。
-
使用資料庫引擎實作 SSL/TLS 連線的程序連線至資料庫。每個資料庫引擎都有自己實作 SSL/TLS 的程序。若要了解如何為您的資料庫實作 SSL/TLS,請瀏覽對應您的資料庫引擎的連結:
憑證授權單位
憑證認證機構 (CA) 是在憑證鏈頂端識別根 CA 的憑證。CA 會簽署安裝在每個資料庫執行個體上的資料庫執行個體憑證。資料庫伺服器憑證會將資料庫執行個體識別為受信任伺服器。
![憑證認證機構概覽](images/certificate-authority-overview.png)
Amazon RDS 提供下列 CA 來簽署資料庫的資料庫伺服器憑證。
憑證授權單位 (CA) | 描述 |
---|---|
rds-ca-2019 |
使用搭配 RSA 2048 私密金鑰演算法和 SHA256 簽署演算法的憑證認證機構。此 CA 將於 2024 年到期,且不支援自動伺服器憑證輪換。如果您正在使用此 CA 並且想要保持相同的標準,我們建議您切換至 rds-ca-rsa 2048 g1 CA。 |
rds-ca-rsa国际集团 |
在大多數 AWS 區域中,使用搭配 RSA 2048 私密金鑰演算法和 SHA256 簽署演算法的憑證認證機構。 在中 AWS GovCloud (US) Regions,此 CA 使用具有 RSA 2048 私密金鑰演算法和 SHA384 簽署演算法的憑證授權單位。 此 CA 的有效期限仍超過 rds-ca-2019 CA。此 CA 支援自動伺服器憑證輪換。 |
rds-ca-rsa国际集团 |
使用搭配 RSA 4096 私密金鑰演算法和 SHA384 簽署演算法的憑證認證機構。此 CA 支援自動伺服器憑證輪換。 |
rds-ca-ecc384 国际 |
使用搭配 ECC 384 私密金鑰演算法和 SHA384 簽署演算法的憑證認證機構。此 CA 支援自動伺服器憑證輪換。 |
這些 CA 憑證包含在區域和全域憑證套件中。當您將 rds-ca-rsa 2048-g1 、 rds-ca-rsa 4096-g1 或 rds-ca-ecc 384-g1 CA 與資料庫搭配使用時,RDS 會管理資料庫上的資料庫伺服器憑證。RDS 會在資料庫伺服器憑證到期之前自動進行輪換。
設定資料庫的 CA
執行下列任務時,您可以設定資料庫的 CA:
-
建立資料庫執行個體或異地同步備份資料庫叢集 — 您可以在建立資料庫執行個體或叢集時設定 CA。如需相關指示,請參閱建立 Amazon RDS 資料庫執行個體或建立多可用區域資料庫叢集。
-
修改資料庫執行個體或異地同步備份資料庫叢集 — 您可以透過修改資料庫執行個體或叢集來設定 CA。如需相關指示,請參閱修改 Amazon RDS 資料庫執行個體或修改多可用區域資料庫叢集。
注意
預設的 CA 會設定為 rds-ca-rsa 2048-g1。您可以使用修改憑證命令覆寫您的 AWS 帳戶 預設 CA。
可用的 CA 取決於資料庫引擎和資料庫引擎版本。使用 AWS Management Console時,您可以使用 Certificate authority (憑證授權單位) 設定來選擇 CA,如下圖所示。
![憑證授權單位選項](images/certificate-authority.png)
主控台只會顯示資料庫引擎和資料庫引擎版本可用的 CA。如果您使用的是 AWS CLI,可以使用create-db-instance或modify-db-instance命令為資料庫執行個體設定 CA。您可以使用create-db-cluster或modify-db-cluster命令為異地同步備份資料庫叢集設定 CA。
如果您使用的是 AWS CLI,您可以使用描述憑證命令來查看您帳戶的可用 CA。此命令也會在輸出中顯示 ValidTill
中每個 CA 的到期日。您可以使用該describe-db-engine-versions命令找到可用於特定數據庫引擎和數據庫引擎版本的 CA。
下列範例顯示適用於預設 RDS for PostgreSQL 資料庫引擎版本的 CA。
aws rds describe-db-engine-versions --default-only --engine postgres
輸出類似如下。可用的 CA 列示在 SupportedCACertificateIdentifiers
中。輸出也會顯示 DB 引擎版本是否支援輪換憑證,而不需在 SupportsCertificateRotationWithoutRestart
中重新啟動。
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
資料庫伺服器憑證有效期
資料庫伺服器憑證的有效期取決於資料庫引擎和資料庫引擎版本。如果資料庫引擎版本支援在不重新啟動的情況下輪換憑證,則資料庫伺服器憑證的有效期為 1 年。若不支援的話,則有效期為 3 年。
如需資料庫伺服器憑證輪換的詳細資訊,請參閱 自動伺服器憑證輪換。
檢視資料庫執行個體的 CA
您可以檢視主控台中的 [連線與安全性] 索引標籤,檢視資料庫 CA 的詳細資料,如下圖所示。
![憑證授權單位詳細資訊](images/certificate-authority-details.png)
如果您使用的是 AWS CLI,您可以使用describe-db-instances命令檢視資料庫執行個體 CA 的詳細資料。您可以使用describe-db-clusters指令檢視異地同步備份資料庫叢集的 CA 詳細資料。
若要查看 CA 憑證套件的內容,請使用下列命令:
keytool -printcert -v -file global-bundle.pem
所有人的憑證套件 AWS 區域
要獲得所有人的證書包 AWS 區域,請從 https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
套裝軟體同時包含中rds-ca-2019
繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。
如果您的應用程式是在 Microsoft 視窗上,並且需要 PKCS7 檔案,您可以從以下位置下載 PKCS7 憑證套件:https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b
注意
Amazon RDS 代理來自 AWS Certificate Manager (ACM)的證書。如果您使用的是 RDS 代理伺服器,則不需要下載 Amazon RDS 憑證或更新使用 RDS 代理連線的應用程式。如需詳細資訊,請參閱 搭配 RDS Proxy 使用 TLS/SSL。
特定的憑證組合 AWS 區域
套裝軟體同時包含中rds-ca-2019
繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。
若要取得的憑證套裝軟體 AWS 區域,請從下表 AWS 區域 中的連結下載。
AWS GovCloud (US) 憑證
若要取得同時包含中繼憑證和根憑證的憑證組合,請從 https://truststore.pki 下載。 AWS GovCloud (US) Region us-gov-west-1.rds.amazonaws.com /全球/全球包裝.pem
如果您的應用程式是在 Microsoft 視窗上,並且需要 PKCS7 檔案,您可以從以下位置下載 PKCS7 憑證套件:https://truststore.pki。 us-gov-west-1.rds.Amazonaws.com /全球/全局組合.p7b.
套裝軟體同時包含中rds-ca-2019
繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。
若要取得的憑證組合 AWS GovCloud (US) Region,請從下表 AWS GovCloud (US) Region 中的連結下載。
AWS GovCloud (US) Region | 憑證套件 (PEM) | 憑證套件 (PKCS7) |
---|---|---|
AWS GovCloud (美國東部) | us-gov-east-1 捆綁。PEM |
us-gov-east-1 捆綁式 |
AWS GovCloud (美國西部) | us-gov-west-1 捆綁。PEM |
us-gov-west-1 捆綁式 |