本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 連線至加密的 Amazon Relational Database Service 和 Amazon Aurora 資料庫 AWS Schema Conversion Tool
<a name="CHAP_Source.Encrypt.RDS"></a>

若要從應用程式開啟 Amazon RDS 或 Amazon Aurora 資料庫的加密連線，您需要將 AWS 根憑證匯入某種形式的金鑰儲存。您可以在《*Amazon RDS 使用者指南*》中的 AWS [使用 SSL/TLS 來加密資料庫執行個體的連線](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)，從 下載根憑證。

有兩個可用選項：適用於所有 AWS 區域的根憑證，以及同時包含舊憑證和新根憑證的憑證套件。

視您要使用的 而定，請遵循下列兩個程序之一中的步驟。

**將憑證或憑證匯入 Windows 系統儲存體**

1. 從下列其中一個來源下載憑證或憑證：

   如需下載憑證的資訊，請參閱《*Amazon RDS 使用者指南*》中的[使用 SSL/TLS 加密資料庫執行個體的連線](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)。

1. 在 Windows 搜尋視窗中，輸入 **Manage computer certificates**。當出現是否讓應用程式變更您電腦的提示時，請選擇**是**。

1. 當憑證視窗開啟時，如有需要，請展開**憑證 - 本機電腦**，以便您可以查看憑證清單。開啟**信任根憑證授權**機構的內容 （按一下滑鼠右鍵） 選單，然後選擇**所有任務**、**匯入**。

1. 選擇**下一步**，然後**瀏覽**，然後尋找您在步驟 1 中下載`*.pem`的檔案。選擇**開啟**以選取憑證檔案，選擇**下一步**，然後選擇**完成**。
**注意**  
若要尋找檔案，請將瀏覽視窗中的檔案類型變更為**所有檔案 (\$1.\$1)**，因為 `.pem` 不是標準憑證副檔名。

1. 在 Microsoft 管理主控台中，展開**憑證**。然後展開**信任的根憑證授權機構**，選擇**憑證**，然後尋找憑證以確認憑證是否存在。憑證的名稱以 開頭`Amazon RDS`。

1. 重新啟動電腦。

**將憑證匯入 Java KeyStore**

1. 從下列其中一個來源下載憑證或憑證：

   如需下載憑證的資訊，請參閱《*Amazon RDS 使用者指南*》中的[使用 SSL/TLS 加密與資料庫執行個體的連線](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)。

1. 如果您下載憑證套件，請將其分割為個別憑證檔案。若要這樣做，請將每個憑證區塊以 開頭`-----BEGIN CERTIFICATE-----`，並以 結尾`-----END CERTIFICATE-----`，放入個別`*.pem`的檔案。為每個憑證建立個別`*.pem`檔案之後，您可以安全地移除憑證套件檔案。

1. 在您下載憑證的目錄中開啟命令視窗或終端機工作階段，並針對您在上一個步驟中建立的每個`*.pem`檔案執行下列命令。

   ```
   keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename
   ```  
**Example**  

   下列範例假設您已下載 `eu-west-1-bundle.pem` 檔案。

   ```
   keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
   Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
   Enter keystore password:
   Re-enter new password:
   Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
   Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
   Serial number: c73467369250ae75
   Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
   Certificate fingerprints:
            SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
            SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
   Signature algorithm name: SHA256withRSA
   Subject Public Key Algorithm: 2048-bit RSA key
   Version: 3
   
   Extensions:
   
   #1: ObjectId: 2.5.29.35 Criticality=false
   AuthorityKeyIdentifier [
   KeyIdentifier [
   0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
   0010: 60 FF BC 1F                                        `...
   ]
   ]
   
   #2: ObjectId: 2.5.29.19 Criticality=true
   BasicConstraints:[
     CA:true
     PathLen:2147483647
   ]
   
   #3: ObjectId: 2.5.29.15 Criticality=true
   KeyUsage [
     Key_CertSign
     Crl_Sign
   ]
   
   #4: ObjectId: 2.5.29.14 Criticality=false
   SubjectKeyIdentifier [
   KeyIdentifier [
   0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
   0010: 60 FF BC 1F                                        `...
   ]
   ]
   
   Trust this certificate? [no]:  yes
   Certificate was added to keystore
   ```

1. 將金鑰存放區新增為其中的信任存放區 AWS SCT。若要這樣做，請從主選單選擇**設定**、**全域設定**、**安全性**、**信任存放**區，然後選擇**選取現有的信任存放區**。

   新增信任存放區之後，您可以在建立資料庫連線時，使用它來設定已啟用 SSL 的 AWS SCT 連線。在 AWS SCT **連線至資料庫**對話方塊中，選擇**使用 SSL**，然後選擇先前輸入的信任存放區。