Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance

Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) aus Ihrer Anwendung verwenden, um eine Verbindung zu einer DB-Instance zu verschlüsseln, die mit MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL läuft.

SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem Daten verschlüsselt werden, die zwischen Ihrem Client und einem DB-Instance- verschoben werden. Optional kann Ihre SSL/TLS-Verbindung eine Überprüfung der Serveridentität durchführen, indem das auf Ihrer DB-Instance installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:

  1. Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.

  2. Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Informationen zum Herunterladen eines Zertifikatspakets finden Sie unter Zertifikat-Bundles für alle AWS-Regionen und Zertifikat-Bundles für bestimmte AWS-Regionen.

    Anmerkung

    Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.

  3. Stellen Sie anhand des Verfahrens Ihrer DB-Engine zur Implementierung von SSL/TLS-Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat einen eigenen Vorgang für die Implementierung von SSL/TLS. Verwenden Sie den entsprechenden Link für Ihre DB-Engine, um mehr über die Implementierung von SSL/TLS in Ihrer Datenbank zu erfahren:

Zertifizierungsstellen

Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.


                            Übersicht über Zertifizierungsstellen

Amazon RDS stellt die folgenden CAs bereit, um das DB-Serverzertifikat für eine DB-Instance zu signieren.

Zertifizierungsstelle (Certificate authority, CA) Beschreibung

rds-ca-2019

Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus. Diese CA läuft 2024 ab und unterstützt keine automatische Rotation von Serverzertifikaten. Wenn Sie diese CA verwenden und denselben Standard beibehalten möchten, empfehlen wir Ihnen, zur CA rds-ca-rsa2048-g1 zu wechseln.

rds-ca-rsa2048-g1

Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus in den meisten AWS-Regionen.

In den AWS GovCloud (US) Regions verwendet diese CA eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA384-Signaturalgorithmus.

Diese CA bleibt länger gültig als die CA rds-ca-2019. Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

rds-ca-rsa4096-g1

Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 4096 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

rds-ca-ecc384-g1

Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus ECC 384 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Anmerkung

Wenn Sie die AWS CLI verwenden, können Sie die Gültigkeitsdauer der oben aufgeführten Zertifizierungsstellen mithilfe von describe-certificates überprüfen.

Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die CA rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 oder rds-ca-ecc384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.

Einstellung der CA für Ihre Datenbank

Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:

Anmerkung

Die Standardzertifizierungsstelle ist auf rds-ca-rsa2048-g1 festgelegt. Sie können die standardmäßige CA für Ihr AWS-Konto mithilfe des Befehls modify-certificates überschreiben.

Die verfügbaren CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die AWS Management Console verwenden, können Sie die CA mithilfe der Einstellung Certificate authority (Zertifizierungsstelle) auswählen, wie in der folgenden Abbildung gezeigt.


                        Option „Certificate authority“ (Zertifizierungsstelle)

Die Konsole zeigt nur die CAs an, die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwendenAWS CLI, können Sie die CA für eine DB-Instance mit dem modify-db-instance Befehl create-db-instance oder festlegen.

Wenn Sie die AWS CLI verwenden, können Sie mit dem Befehl describe-certificates die verfügbaren CAs für Ihr Konto anzeigen lassen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill an. Mit dem Befehl describe-db-engine-versions finden Sie die CAs, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind.

Das folgende Beispiel zeigt die CAs, die für die DB-Engine-Standardversion von RDS für PostgreSQL verfügbar sind.

aws rds describe-db-engine-versions --default-only --engine postgres

Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter SupportedCACertificateIdentifiers aufgeführt. Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart unterstützt.

{ "DBEngineVersions": [ { "Engine": "postgres", "MajorEngineVersion": "13", "EngineVersion": "13.4", "DBParameterGroupFamily": "postgres13", "DBEngineDescription": "PostgreSQL", "DBEngineVersionDescription": "PostgreSQL 13.4-R1", "ValidUpgradeTarget": [], "SupportsLogExportsToCloudwatchLogs": false, "SupportsReadReplica": true, "SupportedFeatureNames": [ "Lambda" ], "Status": "available", "SupportsParallelQuery": false, "SupportsGlobalDatabases": false, "SupportsBabelfish": false, "SupportsCertificateRotationWithoutRestart": true, "SupportedCACertificateIdentifiers": [ "rds-ca-2019", "rds-ca-rsa2048-g1", "rds-ca-ecc384-g1", "rds-ca-rsa4096-g1" ] } ] }

Gültigkeiten von DB-Serverzertifikaten

Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.

Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.

Anzeigen der CA für Ihre Datenbank

Sie können die Details zur CA für eine DB-Instance einsehen, indem Sie die Registerkarte Connectivity & security (Konnektivität und Sicherheit) in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.


                        Details zur Zertifizierungsstelle

Wenn Sie die verwendenAWS CLI, können Sie die Details zur CA für eine DB-Instance mit dem describe-db-instances Befehl anzeigen.

Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen:

keytool -printcert -v -file global-bundle.pem

Zertifikat-Bundles für alle AWS-Regionen

Um ein Zertifikat-Bundle zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für alle AWS-Regionen enthält, laden Sie es unter https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem herunter.

Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl das Zwischen- als auch das Stammzertifikat unter https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

Anmerkung

Amazon RDS Proxy verwendet Zertifikate aus AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.

Zertifikat-Bundles für bestimmte AWS-Regionen

Um ein Zertifikat-Bundle zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für eine AWS-Region enthält, laden Sie den Link für die AWS-Region in der folgenden Tabelle herunter.

AWS-Region Zertifikat-Paket (PEM) Zertifikat-Paket (PKCS7)
USA Ost (Nord-Virginia) us-east-1-bundle.pem us-east-1-bundle.p7b
US East (Ohio) us-east-2-bundle.pem us-east-2-bundle.p7b
USA West (Nordkalifornien) us-west-1-bundle.pem us-west-1-bundle.p7b
USA West (Oregon) us-west-2-bundle.pem us-west-2-bundle.p7b
Africa (Cape Town) af-south-1-bundle.pem af-south-1-bundle.p7b
Asia Pacific (Hong Kong) ap-east-1-bundle.pem ap-east-1-bundle.p7b
Asien-Pazifik (Hyderabad) ap-south-2-bundle.pem ap-south-2-bundle.p7b
Asien-Pazifik (Jakarta) ap-southeast-3-bundle.pem ap-southeast-3-bundle.p7b
Asien-Pazifik (Melbourne) ap-southeast-4-bundle.pem ap-southeast-4-bundle.p7b
Asien-Pazifik (Mumbai) ap-south-1-bundle.pem ap-south-1-bundle.p7b
Asia Pacific (Osaka) ap-northeast-3-bundle.pem ap-northeast-3-bundle.p7b
Asien-Pazifik (Tokio) ap-northeast-1-bundle.pem ap-northeast-1-bundle.p7b
Asia Pacific (Seoul) ap-northeast-2-bundle.pem ap-northeast-2-bundle.p7b
Asien-Pazifik (Singapur) ap-southeast-1-bundle.pem ap-southeast-1-bundle.p7b
Asien-Pazifik (Sydney) ap-southeast-2-bundle.pem ap-southeast-2-bundle.p7b
Canada (Central) ca-central-1-bundle.pem ca-central-1-bundle.p7b
Kanada West (Calgary) ca-west-1-bundle.pem ca-west-1-bundle.p7b
Europa (Frankfurt) eu-central-1-bundle.pem eu-central-1-bundle.p7b
Europa (Irland) eu-west-1-bundle.pem eu-west-1-bundle.p7b
Europe (London) eu-west-2-bundle.pem eu-west-2-bundle.p7b
Europe (Milan) eu-south-1-bundle.pem eu-south-1-bundle.p7b
Europe (Paris) eu-west-3-bundle.pem eu-west-3-bundle.p7b
Europa (Spain) eu-south-2-bundle.pem eu-south-2-bundle.p7b
Europa (Stockholm) eu-north-1-bundle.pem eu-north-1-bundle.p7b
Europa (Zürich) eu-central-2-bundle.pem eu-central-2-bundle.p7b
Israel (Tel Aviv) il-central-1-bundle.pem il-central-1-bundle.p7b
Naher Osten (Bahrain) me-south-1-bundle.pem me-south-1-bundle.p7b
Naher Osten (VAE) me-central-1-bundle.pem me-central-1-bundle.p7b
Südamerika (São Paulo) sa-east-1-bundle.pem sa-east-1-bundle.p7b

AWS GovCloud (US)-Zertifikate

Um ein Zertifikatpaket zu erhalten, das sowohl Zwischen- als auch AWS GovCloud (US) RegionStammzertifikate für die enthält, laden Sie es von https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem herunter.

Wenn sich Ihre Anwendung auf Microsoft Windows befindet und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikat-Bundle herunterladen. Dieses Paket enthält sowohl Zwischen- als auch Stammzertifikate unter https://truststore.pki.us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Um ein Zertifikatpaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für eine AWS GovCloud (US) Region enthält, laden Sie den Link für die AWS GovCloud (US) Region in der folgenden Tabelle herunter.

AWS GovCloud (US) Region Zertifikat-Paket (PEM) Zertifikat-Paket (PKCS7)
AWS GovCloud (USA-Ost) us-gov-east-1-bundle.pem us-gov-east-1-bundle.p7b
AWS GovCloud (USA West) us-gov-west-1-bundle.pem us-gov-west-1-bundle.p7b