Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von SSL/TLS zum Verschlüsseln einer Verbindung zu einer
Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einem DB-Cluster zu verschlüsseln, der mit Aurora MySQL oder Aurora PostgreSQL läuft.
Optional kann Ihre SSL/TLS-Verbindung die Serveridentität überprüfen, indem das in Ihrer Datenbank installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:
-
Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.
-
Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Informationen zum Herunterladen eines Zertifikatspakets finden Sie unter Zertifikatspakete für alle AWS-Regionen und Zertifikatspakete für bestimmte AWS-Regionen.
Anmerkung
Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.
-
Stellen Sie anhand des Verfahrens Ihrer DB-Engine zur Implementierung von SSL/TLS-Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat einen eigenen Vorgang für die Implementierung von SSL/TLS. Verwenden Sie den entsprechenden Link für Ihre DB-Engine, um mehr über die Implementierung von SSL/TLS in Ihrer Datenbank zu erfahren:
Zertifizierungsstellen
Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.
Amazon RDS stellt die folgenden Zertifizierungsstellen bereit, um das DB-Serverzertifikat für eine Datenbank zu signieren.
Zertifizierungsstelle (Certificate authority, CA) | Beschreibung |
---|---|
rds-ca-2019 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus. Diese CA läuft 2024 ab und unterstützt keine automatische Rotation von Serverzertifikaten. Wenn Sie diese CA verwenden und den gleichen Standard beibehalten möchten, empfehlen wir Ihnen, zur rds-ca-rsa 2048-g1-CA zu wechseln. |
rds-ca-rsa2048-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus in den meisten AWS-Regionen. In der AWS GovCloud (US) Regions verwendet diese CA eine Zertifizierungsstelle mit dem RSA 2048-Algorithmus für private Schlüssel und dem SHA384-Signaturalgorithmus. Diese CA bleibt länger gültig als die CA rds-ca-2019. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
rds-ca-rsa4096-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 4096 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
rds-ca-ecc384-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus ECC 384 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.
Einstellung der CA für Ihre Datenbank
Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:
-
Einen Aurora-DB-Cluster erstellen — Sie können die CA für eine DB-Instance in einem Aurora-Cluster festlegen, wenn Sie die erste DB-Instance im DB-Cluster mithilfe der AWS CLI oder RDS-API erstellen. Derzeit können Sie die CA für die DB-Instances in einem DB-Cluster nicht einstellen, wenn Sie den DB-Cluster über die RDS-Konsole erstellen. Anweisungen finden Sie unter Erstellen eines Amazon Aurora-DB Clusters.
-
Eine DB-Instance ändern – Sie können die CA für eine DB-Instance in einem DB-Cluster festlegen, indem Sie sie ändern. Anweisungen finden Sie unter Ändern einer DB-Instance in einem DB-Cluster.
Anmerkung
Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. Sie können die Standard-CA für Sie überschreiben, AWS-Konto indem Sie den Befehl modify-certificates verwenden.
Die verfügbaren CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die AWS Management Console verwenden, können Sie die CA mithilfe der Einstellung Certificate authority (Zertifizierungsstelle) auswählen, wie in der folgenden Abbildung gezeigt.
Die Konsole zeigt nur die CAs an, die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem create-db-instanceBefehl or festlegen. modify-db-instance
Wenn Sie den verwenden AWS CLI, können Sie die verfügbaren Zertifizierungsstellen für Ihr Konto mithilfe des Befehls describe-certificates einsehen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill
an. Mithilfe des Befehls können Sie die Zertifizierungsstellen finden, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. describe-db-engine-versions
Das folgende Beispiel zeigt die CAs, die für die DB-Engine-Standardversion von RDS für PostgreSQL verfügbar sind.
aws rds describe-db-engine-versions --default-only --engine postgres
Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter SupportedCACertificateIdentifiers
aufgeführt. Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart
unterstützt.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
Gültigkeiten von DB-Serverzertifikaten
Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.
Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.
Die CA für Ihre DB-Instance anzeigen
Sie können die Details zur CA für eine Datenbank einsehen, indem Sie die Registerkarte Konnektivität und Sicherheit in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.
Wenn Sie die verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mithilfe des describe-db-instancesBefehls anzeigen.
Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen:
keytool -printcert -v -file global-bundle.pem
Zertifikatspakete für alle AWS-Regionen
Um ein Zertifikatspaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für alle enthält AWS-Regionen, laden Sie es von https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl das Zwischen- als auch das Stammzertifikat unter https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b
Anmerkung
Amazon RDS Proxy and Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.
Wenn Sie Amazon RDS-Zertifikate verwendenAurora Serverless v1, ist das Herunterladen von Amazon RDS-Zertifikaten nicht erforderlich. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit Aurora Serverless v1.
Zertifikatspakete für bestimmte AWS-Regionen
Um ein Zertifikatspaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für eine enthält AWS-Region, laden Sie es über den Link AWS-Region in der folgenden Tabelle herunter.
AWS GovCloud (US) -Zertifikate
Um ein Zertifikatspaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für die AWS GovCloud (US) Region s enthält, laden Sie es von https://truststore.pki herunter. us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem
Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl die Zwischen- als auch die Stammzertifikate unter https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b
Um ein Zertifikatspaket zu erhalten, das sowohl das Zwischen- als auch das Stammzertifikat für ein enthält, laden Sie es über den Link in der folgenden Tabelle herunter. AWS GovCloud (US) Region AWS GovCloud (US) Region
AWS GovCloud (US) Region | Zertifikat-Paket (PEM) | Zertifikat-Paket (PKCS7) |
---|---|---|
AWS GovCloud (US-Ost) | us-gov-east-1-bundle.pem |
us-gov-east-1-Bundle.p7b |
AWS GovCloud (US-West) | us-gov-west-1-bundle.pem |
us-gov-west-1-Bundle.p7b |