Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance
Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einer DB-Instance zu verschlüsseln, die mit MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL läuft.
SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem Daten verschlüsselt werden, die zwischen Ihrem Client und einem DB-Instance- verschoben werden. Optional kann Ihre SSL/TLS-Verbindung eine Überprüfung der Serveridentität durchführen, indem das auf Ihrer DB-Instance installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:
-
Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.
-
Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Informationen zum Herunterladen eines Zertifikatspakets finden Sie unter Zertifikat-Bundles für alle AWS-Regionen und Zertifikat-Bundles für bestimmte AWS-Regionen.
Anmerkung
Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.
-
Stellen Sie anhand des Verfahrens Ihrer DB-Engine zur Implementierung von SSL/TLS-Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat einen eigenen Vorgang für die Implementierung von SSL/TLS. Verwenden Sie den entsprechenden Link für Ihre DB-Engine, um mehr über die Implementierung von SSL/TLS in Ihrer Datenbank zu erfahren:
Zertifizierungsstellen
Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.
Amazon RDS stellt die folgenden CAs bereit, um das DB-Serverzertifikat für eine DB-Instance zu signieren.
Zertifizierungsstelle (Certificate authority, CA) | Beschreibung |
---|---|
rds-ca-2019 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus. Diese CA läuft 2024 ab und unterstützt keine automatische Rotation von Serverzertifikaten. Wenn Sie diese CA verwenden und denselben Standard beibehalten möchten, empfehlen wir Ihnen, zur CA rds-ca-rsa2048-g1 zu wechseln. |
rds-ca-rsa2048-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus in den meisten AWS-Regionen. In den AWS GovCloud (US) Regions verwendet diese CA eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA384-Signaturalgorithmus. Diese CA bleibt länger gültig als die CA rds-ca-2019. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
rds-ca-rsa4096-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 4096 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
rds-ca-ecc384-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus ECC 384 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
Anmerkung
Wenn Sie die AWS CLI verwenden, können Sie die Gültigkeitsdauer der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.
Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die CA rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 oder rds-ca-ecc384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.
Einstellung der CA für Ihre Datenbank
Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:
-
Eine DB-Instance erstellen – Sie können die CA beim Erstellen einer DB-Instance einstellen. Anweisungen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.
-
Eine DB-Instance ändern – Sie können die CA für eine DB-Instance festlegen, indem Sie sie ändern. Anweisungen finden Sie unter Ändern einer Amazon RDS-DB-Instance.
Anmerkung
Die Standardzertifizierungsstelle ist auf rds-ca-rsa2048-g1 festgelegt. Sie können die standardmäßige CA für Ihr AWS-Konto mithilfe des Befehls modify-certificates überschreiben.
Die verfügbaren CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die AWS Management Console verwenden, können Sie die CA mithilfe der Einstellung Certificate authority (Zertifizierungsstelle) auswählen, wie in der folgenden Abbildung gezeigt.
Die Konsole zeigt nur die CAs an, die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwendenAWS CLI, können Sie die CA für eine DB-Instance mit dem modify-db-instance Befehl create-db-instance oder festlegen.
Wenn Sie die AWS CLI verwenden, können Sie mit dem Befehl describe-certificates die verfügbaren CAs für Ihr Konto anzeigen lassen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill
an. Mit dem Befehl describe-db-engine-versions finden Sie die CAs, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind.
Das folgende Beispiel zeigt die CAs, die für die DB-Engine-Standardversion von RDS für PostgreSQL verfügbar sind.
aws rds describe-db-engine-versions --default-only --engine postgres
Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter SupportedCACertificateIdentifiers
aufgeführt. Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart
unterstützt.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
Gültigkeiten von DB-Serverzertifikaten
Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.
Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.
Anzeigen der CA für Ihre Datenbank
Sie können die Details zur CA für eine DB-Instance einsehen, indem Sie die Registerkarte Connectivity & security (Konnektivität und Sicherheit) in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.
Wenn Sie die verwendenAWS CLI, können Sie die Details zur CA für eine DB-Instance mit dem describe-db-instances Befehl anzeigen.
Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen:
keytool -printcert -v -file global-bundle.pem
Zertifikat-Bundles für alle AWS-Regionen
Um ein Zertifikat-Bundle zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für alle AWS-Regionen enthält, laden Sie es unter https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl das Zwischen- als auch das Stammzertifikat unter https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b
Anmerkung
Amazon RDS Proxy verwendet Zertifikate aus AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.
Zertifikat-Bundles für bestimmte AWS-Regionen
Um ein Zertifikat-Bundle zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für eine AWS-Region enthält, laden Sie den Link für die AWS-Region in der folgenden Tabelle herunter.
AWS GovCloud (US)-Zertifikate
Um ein Zertifikatpaket zu erhalten, das sowohl Zwischen- als auch AWS GovCloud (US) RegionStammzertifikate für die enthält, laden Sie es von https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem
Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl Zwischen- als auch Stammzertifikate unter https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b
Um ein Zertifikatpaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für eine AWS GovCloud (US) Region enthält, laden Sie den Link für die AWS GovCloud (US) Region in der folgenden Tabelle herunter.
AWS GovCloud (US) Region | Zertifikat-Paket (PEM) | Zertifikat-Paket (PKCS7) |
---|---|---|
AWS GovCloud (USA-Ost) | us-gov-east-1-bundle.pem |
us-gov-east-1-bundle.p7b |
AWS GovCloud (USA West) | us-gov-west-1-bundle.pem |
us-gov-west-1-bundle.p7b |