Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance - Amazon Relational Database Service

Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance

Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einer DB-Instance zu verschlüsseln, die mit MySQL, MariaDB, SQL Server, Oracle oder PostgreSQL läuft. Jede DB-Engine hat einen eigenen Vorgang für die Implementierung von SSL/TLS. Verwenden Sie den einen der entsprechenden Links für Ihre DB-Engine, um mehr über die Implementierung von SSL/TLS in Ihrer DB-Instance zu erfahren:

Wichtig

Weitere Informationen zum Rotieren Ihres Zertifikats finden Sie unter Rotieren Ihrer SSL/TLS-Zertifikate.

Anmerkung

Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.

Um ein Stammzertifikat zu erhalten, das für alle AWS-Regionen funktioniert, mit Ausnahme von Opt-In-AWS-Regionen, laden Sie es von https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem herunter.

Dieses Stammzertifikat ist eine vertrauenswürdige Stammentität und sollte in den meisten Fällen funktionieren, könnte jedoch fehlschlagen, wenn Ihre Anwendung keine Zertifikatsketten akzeptiert. Laden Sie aus der Liste von Zwischenzertifikaten, die später in diesen Abschnitt beschrieben wird, das regionsspezifische AWS-Zertifikat herunter, wenn Ihre Anwendung keine Zertifikatsketten akzeptiert.

Um ein Zertifikatspaket zu erhalten, das sowohl das Zwischen- als auch das Root-Zertifikat enthält, laden Sie es von https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem herunter.

Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket unter https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b enthält sowohl das Zwischen- als auch das Root-Zertifikat.

Anmerkung

Amazon RDS Proxy verwendet Zertifikate aus AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS Proxy-Verbindungen verwenden. Weitere Informationen über die Verwendung von TLS/SSL mit RDS Proxy finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.

Stammzertifikate für Opt-In-AWS-Regionen

Wenn Sie eine Opt-In-AWS-Region verwenden, können Sie das Stammzertifikat aus der folgenden Tabelle herunterladen.

Opt-In-AWS-Region Stammzertifikat
Afrika (Kapstadt) rds-ca-af-south-1-2019-root.pem
Asien-Pazifik (Hongkong) rds-ca-ap-east-1-2019-root.pem
Europa (Mailand) rds-ca-eu-south-1-2019-root.pem
Naher Osten (Bahrain) rds-ca-me-south-1-2019-root.pem

Zwischenzertifikate

Es könnte sein, dass Sie ein Zwischenzertifikat benötigen, um sich mit Ihrer AWS-Region zu verbinden. Beispielsweise müssen Sie ein Zwischenzertifikat verwenden, um sich mithilfe von SSL/TLS mit der Region AWS GovCloud (US-West) zu verbinden. Wenn Sie ein Zwischenzertifikat für eine bestimmte AWS-Region benötigen, laden Sie das Zertifikat aus der folgenden Tabelle herunter.

AWS-Region Zwischenzertifikat
Asien-Pazifik (Mumbai) rds-ca-2019-ap-south-1.pem
Asien-Pazifik (Tokio) rds-ca-2019-ap-northeast-1.pem
Asien-Pazifik (Seoul) rds-ca-2019-ap-northeast-2.pem
Asien-Pazifik (Osaka-Lokal) rds-ca-2019-ap-northeast-3.pem
Asien-Pazifik (Singapur) rds-ca-2019-ap-southeast-1.pem
Asien-Pazifik (Sydney) rds-ca-2019-ap-southeast-2.pem
Kanada (Zentral) rds-ca-2019-ca-central-1.pem
Europa (Frankfurt) rds-ca-2019-eu-central-1.pem
Europa (Irland) rds-ca-2019-eu-west-1.pem
Europa (London) rds-ca-2019-eu-west-2.pem
Europa (Paris) rds-ca-2019-eu-west-3.pem
Europa (Stockholm) rds-ca-2019-eu-north-1.pem
Südamerika (São Paulo) rds-ca-2019-sa-east-1.pem
USA Ost (Nord-Virginia) rds-ca-2019-us-east-1.pem
USA Ost (Ohio) rds-ca-2019-us-east-2.pem
USA West (Nordkalifornien) rds-ca-2019-us-west-1.pem
USA West (Oregon) rds-ca-2019-us-west-2.pem

AWS GovCloud (US)-Zertifikate

Sie können das Stammzertifikat für eine AWS GovCloud (USA)-Region aus der folgenden Liste herunterladen:

AWS GovCloud (US-Ost) (Root CA-2017)

AWS GovCloud (US-West) (Root CA-2017)

Sie können das Zwischenzertifikat für die Region AWS GovCloud (US) aus der folgenden Liste herunterladen:

AWS GovCloud (US-Ost) (CA-2017)

AWS GovCloud (USA West) (CA-2017)

AWS GovCloud (USA West) (CA-2012)

Um ein Zertifikat-Bundle zu erhalten, das sowohl Zwischen- als auch Stammzertifikate für die AWS GovCloud (US)-Regionen beinhaltet, laden Sie es unter https://s3.us-gov-west-1.amazonaws.com/rds-downloads/rds-combined-ca-us-gov-bundle.pem herunter.