Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können Secure Socket Layer (SSL) oder Transport Layer Security (TLS) von Ihrer Anwendung aus verwenden, um eine Verbindung zu einer Datenbank zu verschlüsseln, auf der Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL ausgeführt wird.
Optional kann Ihre SSL/TLS-Verbindung eine Überprüfung der Serveridentität durchführen, indem das in Ihrer Datenbank installierte Serverzertifikat validiert wird. Gehen Sie wie folgt vor, um eine Überprüfung der Serveridentität vorzuschreiben:
-
Wählen Sie die Zertifizierungsstelle (Certificate Authority, CA) aus, die das DB-Serverzertifikat für Ihre Datenbank zertifiziert. Weitere Informationen zu Zertifizierungsstellen finden Sie unter Zertifizierungsstellen.
-
Laden Sie ein Zertifikatspaket herunter, das verwendet werden soll, wenn Sie eine Verbindung zur Datenbank herstellen. Informationen zum Herunterladen eines Zertifikatspakets finden Sie unter Zertifikatspakete für alle AWS-Regionen und Zertifikatspakete für bestimmte AWS-Regionen.
Anmerkung
Alle Zertifikate stehen nur über SSL/TLS-Verbindungen zum Download zur Verfügung.
-
Stellen Sie anhand des Verfahrens Ihrer DB-Engine zur Implementierung von SSL/TLS-Verbindungen eine Verbindung zur Datenbank her. Jede DB-Engine hat einen eigenen Vorgang für die Implementierung von SSL/TLS. Verwenden Sie den entsprechenden Link für Ihre DB-Engine, um mehr über die Implementierung von SSL/TLS in Ihrer Datenbank zu erfahren:
Zertifizierungsstellen
Die Zertifizierungsstelle (CA) ist das Zertifikat, das die Stamm-CA an der Spitze der Zertifikatskette identifiziert. Die CA signiert das DB-Serverzertifikat. Dies ist das Serverzertifikat, das auf jeder DB-Instance installiert ist. Das DB-Serverzertifikat identifiziert die DB-Instance als vertrauenswürdigen Server.
Amazon RDS stellt die folgenden Zertifizierungsstellen bereit, um das DB-Serverzertifikat für eine Datenbank zu signieren.
| Zertifizierungsstelle (Certificate authority, CA) | Beschreibung |
|---|---|
|
rds-ca-2019 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus. Diese CA läuft 2024 ab und unterstützt keine automatische Rotation von Serverzertifikaten. Wenn Sie diese CA verwenden und den gleichen Standard beibehalten möchten, empfehlen wir Ihnen, zur rds-ca-rsa 2048-g1-CA zu wechseln. |
|
rds-ca-rsa2048-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 2048 und dem SHA256-Signaturalgorithmus in den meisten AWS-Regionen. In der AWS GovCloud (US) Regions verwendet diese CA eine Zertifizierungsstelle mit dem RSA 2048-Algorithmus für private Schlüssel und dem SHA384-Signaturalgorithmus. Diese CA bleibt länger gültig als die CA rds-ca-2019. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
|
rds-ca-rsa4096-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus RSA 4096 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
|
rds-ca-ecc384-g1 |
Verwendet eine Zertifizierungsstelle mit dem privaten Schlüsselalgorithmus ECC 384 und dem SHA384-Signaturalgorithmus. Diese CA unterstützt die automatische Rotation von Serverzertifikaten. |
Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die Zertifizierungsstelle rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet RDS das DB-Serverzertifikat in der Datenbank. RDS rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.
Einstellung der CA für Ihre Datenbank
Sie können die CA für eine Datenbank einstellen, wenn Sie die folgenden Aufgaben ausführen:
-
Erstellen Sie eine DB-Instance oder einen Multi-AZ-DB-Cluster — Sie können die CA festlegen, wenn Sie eine DB-Instance oder einen DB-Cluster erstellen. Anleitungen Anweisungen finden Sie unter Erstellen einer Amazon RDS-DB-Instance oder Erstellen eines Multi-AZ-DB-Clusters.
-
Ändern Sie eine DB-Instance oder einen Multi-AZ-DB-Cluster — Sie können die CA für eine DB-Instance oder einen Cluster festlegen, indem Sie sie ändern. Anleitungen Anweisungen finden Sie unter Ändern einer Amazon RDS-DB-Instance oder Ändern eines Multi-AZ-DB-Clusters.
Anmerkung
Die Standard-CA ist auf rds-ca-rsa 2048-g1 festgelegt. Sie können die Standard-CA für Sie überschreiben, AWS-Konto indem Sie den Befehl modify-certificates verwenden.
Die verfügbaren CAs hängen von der DB-Engine und der DB-Engine-Version ab. Wenn Sie die AWS Management Console verwenden, können Sie die CA mithilfe der Einstellung Certificate authority (Zertifizierungsstelle) auswählen, wie in der folgenden Abbildung gezeigt.
Die Konsole zeigt nur die CAs an, die für die DB-Engine und die DB-Engine-Version verfügbar sind. Wenn Sie die verwenden AWS CLI, können Sie die CA für eine DB-Instance mit dem create-db-instanceBefehl or festlegen. modify-db-instance Sie können die CA für einen Multi-AZ-DB-Cluster mit dem modify-db-clusterBefehl create-db-clusteror festlegen.
Wenn Sie den verwenden AWS CLI, können Sie die verfügbaren Zertifizierungsstellen für Ihr Konto mithilfe des Befehls describe-certificates einsehen. Dieser Befehl zeigt in der Ausgabe auch das Ablaufdatum für jede CA in ValidTill an. Mithilfe des Befehls können Sie die Zertifizierungsstellen finden, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind. describe-db-engine-versions
Das folgende Beispiel zeigt die CAs, die für die DB-Engine-Standardversion von RDS für PostgreSQL verfügbar sind.
aws rds describe-db-engine-versions --default-only --engine postgres
Ihre Ausgabe sieht Folgendem ähnlich. Die verfügbaren CAs sind unter SupportedCACertificateIdentifiers aufgeführt. Die Ausgabe zeigt auch, ob die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart in SupportsCertificateRotationWithoutRestart unterstützt.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}Gültigkeiten von DB-Serverzertifikaten
Die Gültigkeit des DB-Serverzertifikats hängt von der DB-Engine und der Version der DB-Engine ab. Wenn die Version der DB-Engine das Rotieren des Zertifikats ohne Neustart unterstützt, beträgt die Gültigkeit des DB-Serverzertifikats 1 Jahr. Andernfalls beträgt die Gültigkeit 3 Jahre.
Weitere Informationen zur Rotation des DB-Serverzertifikats finden Sie unter Automatische Rotation von Serverzertifikaten.
Die CA für Ihre DB-Instance anzeigen
Sie können die Details zur CA für eine Datenbank einsehen, indem Sie die Registerkarte Konnektivität und Sicherheit in der Konsole aufrufen, wie in der folgenden Abbildung dargestellt.
Wenn Sie die verwenden AWS CLI, können Sie die Details zur CA für eine DB-Instance mithilfe des describe-db-instancesBefehls anzeigen. Sie können die Details zur CA für einen Multi-AZ-DB-Cluster mithilfe des describe-db-clustersBefehls anzeigen.
Verwenden Sie den folgenden Befehl, um den Inhalt Ihres CA-Zertifikatspakets zu überprüfen:
keytool -printcert -v -file global-bundle.pem
Zertifikatspakete für alle AWS-Regionen
Um ein Zertifikatspaket für alle zu erhalten AWS-Regionen, laden Sie es von https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
Das Paket enthält sowohl das rds-ca-2019 Zwischen- als auch das Stammzertifikat. Das Paket enthält auch die rds-ca-ecc384-g1 CA-Stammzertifikate rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und. Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren.
Anmerkung
Amazon RDS Proxy Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie keine Amazon RDS-Zertifikate herunterladen oder Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.
Zertifikatspakete für bestimmte AWS-Regionen
Das Paket enthält sowohl die rds-ca-2019 Zwischen- als auch die Stammzertifikate. Das Paket enthält auch die rds-ca-ecc384-g1 CA-Stammzertifikate rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und. Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren.
Um ein Zertifikatspaket für ein zu erhalten AWS-Region, laden Sie es über den Link AWS-Region in der folgenden Tabelle herunter.
AWS GovCloud (US) -Zertifikate
Um ein Zertifikatspaket zu erhalten, das sowohl die Zwischen- als auch die Stammzertifikate für das AWS GovCloud (US) Region s enthält, laden Sie es von https://truststore.pki herunter. us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem
Wenn Ihre Anwendung unter Microsoft Windows läuft und eine PKCS7-Datei benötigt, können Sie das PKCS7-Zertifikatspaket von https://truststore.pki herunterladen. us-gov-west
Das Paket enthält sowohl das Zwischen- als auch das Stammzertifikat. rds-ca-2019 Das Paket enthält auch die rds-ca-ecc384-g1 CA-Stammzertifikate rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und. Ihr Application Trust Store muss nur das Root-CA-Zertifikat registrieren.
Um ein Zertifikatspaket für ein zu erhalten AWS GovCloud (US) Region, laden Sie es über den Link AWS GovCloud (US) Region in der folgenden Tabelle herunter.
| AWS GovCloud (US) Region | Zertifikat-Paket (PEM) | Zertifikat-Paket (PKCS7) |
|---|---|---|
| AWS GovCloud (US-Ost) | us-gov-east-1-bundle.pem |
us-gov-east-1-Bundle.p7b |
| AWS GovCloud (US-West) | us-gov-west-1-bundle.pem |
us-gov-west-1-Bundle.p7b |
