本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

您可以使用應用程式的安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來加密與執行 Db2、MariaDB、Microsoft SQL 伺服器、MySQL、甲骨文或 PostgreSQL 之資料庫的連線。

或者，您的 SSL/TLS 連線可以透過驗證資料庫上安裝的伺服器憑證來執行伺服器身分驗證。若需要伺服器身分驗證，請依照此一般程序進行：

憑證授權單位

憑證認證機構 (CA) 是在憑證鏈頂端識別根 CA 的憑證。CA 會簽署安裝在每個資料庫執行個體上的資料庫執行個體憑證。資料庫伺服器憑證會將資料庫執行個體識別為受信任伺服器。

Amazon RDS 提供下列 CA 來簽署資料庫的資料庫伺服器憑證。

這些 CA 憑證包含在區域和全域憑證套件中。當您將 rds-ca-rsa 2048-g1 、 rds-ca-rsa 4096-g1 或 rds-ca-ecc 384-g1 CA 與資料庫搭配使用時，RDS 會管理資料庫上的資料庫伺服器憑證。RDS 會在資料庫伺服器憑證到期之前自動進行輪換。

設定資料庫的 CA

執行下列任務時，您可以設定資料庫的 CA：

可用的 CA 取決於資料庫引擎和資料庫引擎版本。使用 AWS Management Console時，您可以使用 Certificate authority (憑證授權單位) 設定來選擇 CA，如下圖所示。

主控台只會顯示資料庫引擎和資料庫引擎版本可用的 CA。如果您使用的是 AWS CLI，可以使用create-db-instance或modify-db-instance命令為資料庫執行個體設定 CA。您可以使用create-db-cluster或modify-db-cluster命令為異地同步備份資料庫叢集設定 CA。

如果您使用的是 AWS CLI，您可以使用描述憑證命令來查看您帳戶的可用 CA。此命令也會在輸出中顯示 ValidTill 中每個 CA 的到期日。您可以使用該describe-db-engine-versions命令找到可用於特定數據庫引擎和數據庫引擎版本的 CA。

下列範例顯示適用於預設 RDS for PostgreSQL 資料庫引擎版本的 CA。

aws rds describe-db-engine-versions --default-only --engine postgres

輸出類似如下。可用的 CA 列示在 SupportedCACertificateIdentifiers 中。輸出也會顯示 DB 引擎版本是否支援輪換憑證，而不需在 SupportsCertificateRotationWithoutRestart 中重新啟動。

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

資料庫伺服器憑證有效期

資料庫伺服器憑證的有效期取決於資料庫引擎和資料庫引擎版本。如果資料庫引擎版本支援在不重新啟動的情況下輪換憑證，則資料庫伺服器憑證的有效期為 1 年。若不支援的話，則有效期為 3 年。

如需資料庫伺服器憑證輪換的詳細資訊，請參閱 自動伺服器憑證輪換。

檢視資料庫執行個體的 CA

您可以檢視主控台中的 [連線與安全性] 索引標籤，檢視資料庫 CA 的詳細資料，如下圖所示。

如果您使用的是 AWS CLI，您可以使用describe-db-instances命令檢視資料庫執行個體 CA 的詳細資料。您可以使用describe-db-clusters指令檢視異地同步備份資料庫叢集的 CA 詳細資料。

若要查看 CA 憑證套件的內容，請使用下列命令：

keytool -printcert -v -file global-bundle.pem

所有人的憑證套件 AWS 區域

要獲得所有人的證書包 AWS 區域，請從 https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem 下載它。

套裝軟體同時包含中rds-ca-2019繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。

如果您的應用程式是在 Microsoft 視窗上，並且需要 PKCS7 檔案，您可以從以下位置下載 PKCS7 憑證套件：https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b。

特定的憑證組合 AWS 區域

套裝軟體同時包含中rds-ca-2019繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。

若要取得的憑證套裝軟體 AWS 區域，請從下表 AWS 區域 中的連結下載。

AWS GovCloud (US) 憑證

若要取得同時包含中繼憑證和根憑證的憑證組合，請從 https://truststore.pki 下載。 AWS GovCloud (US) Region us-gov-west-1.rds.amazonaws.com /全球/全球包裝.pem。

如果您的應用程式是在 Microsoft 視窗上，並且需要 PKCS7 檔案，您可以從以下位置下載 PKCS7 憑證套件：https://truststore.pki。 us-gov-west-1.rds.Amazonaws.com /全球/全局組合.p7b.

套裝軟體同時包含中rds-ca-2019繼憑證和根憑證。套裝軟體也包含rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1根 CA 憑證。您的應用程式信任存放區只需要註冊根 CA 憑證。

若要取得的憑證組合 AWS GovCloud (US) Region，請從下表 AWS GovCloud (US) Region 中的連結下載。