連接到加密的 Amazon Relational Database Service 服務和 Amazon Aurora 資料庫 AWS Schema Conversion Tool - AWS Schema Conversion Tool

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接到加密的 Amazon Relational Database Service 服務和 Amazon Aurora 資料庫 AWS Schema Conversion Tool

若要從應用程式開啟與 Amazon RDS 或 Amazon Aurora 資料庫的加密連線,您需要將 AWS 根憑證匯入某種形式的金鑰儲存。您可以從 AWS 使用SSL/下載根憑證,以TLS加密 Amazon 使用RDS者指南中資料庫執行個體的連線

有兩個選項可供選擇:適用於所有 AWS 區域的根憑證,以及同時包含新舊根憑證的憑證套裝軟體。

根據您要使用的項目,請依照下列兩個程序之一中的步驟執行。

將一或多個憑證匯入 Windows 系統儲存區

  1. 從下列其中一個來源下載一個或多個憑證:

    如需下載憑證的詳細資訊,請參閱 Amazon 使用RDS者指南中的使用SSL/TLS加密與資料庫執行個體的連線

  2. 在您的視窗搜尋視窗中,輸入Manage computer certificates。當系統提示是否讓應用程式對您的電腦進行變更時,請選擇 [是]

  3. 憑證視窗開啟時,如果需要,請展開 [憑證-本機電腦],以便您可以查看憑證清單。開啟「受信任的根憑證授權單位」的內容 (按一下滑鼠右鍵) 功能表,然後選擇「所有工作

  4. 選擇「下一步」,然後選擇「瀏覽」,然後尋找您在步驟 1 中下載的*.pem檔案。選擇 [開啟] 以選取憑證檔案,選擇 [下一步],然後選擇 [完成]。

    注意

    若要尋找檔案,請將瀏覽視窗中的檔案類型變更為「所有檔案 (*.*)」,因為不.pem是標準的憑證副檔名。

  5. 在 Microsoft 管理主控台中,展開憑證。然後展開「受信任的根憑證授權單位」,選擇「證」,然後尋找憑證以確認其存在。憑證的名稱開頭為Amazon RDS

  6. 重新啟動電腦。

若要將一或多個憑證匯入 Java KeyStore

  1. 從下列其中一個來源下載一或多個憑證:

    如需下載憑證的詳細資訊,請參閱 Amazon 使用RDS者指南中的使用SSL/TLS加密與資料庫執行個體的連線

  2. 如果您已下載憑證服務包,請將其分割為個別的憑證檔案。若要這樣做,請將每個憑證區塊 (以開頭-----BEGIN CERTIFICATE-----和結尾為) 放-----END CERTIFICATE-----入不同的*.pem檔案中。為每個憑證建立個別的*.pem檔案之後,您可以安全地移除憑證服務包檔案。

  3. 在您下載憑證的目錄中開啟命令視窗或終端機工作階段,並針對您在上一個步驟中建立的每個*.pem檔案執行下列命令。

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    下列範例假設您已下載eu-west-1-bundle.pem檔案。

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. 將金鑰儲存區新增為中的信任存放區 AWS SCT。若要這麼做,請從主功能表選擇 [設定]、[全域]、[全性]、[信任存放區],然後選擇 [選取現有的信任存放區

    新增信任存放區之後,您可以在建立資料庫連線時,使用它來設定SSL已啟用的 AWS SCT 連線。在 [ AWS SCT Connect 到資料庫] 對話方塊中,選擇 [使用],SSL然後選擇先前輸入的信任儲存