Konfiguration von SSL/TLS Zertifikaten für Aurora DSQL-Verbindungen - Amazon Aurora DSQL
Amazon Root CA 1 verifizieren Zertifikate installierenMit SSL/TLS ConnectRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von SSL/TLS Zertifikaten für Aurora DSQL-Verbindungen

Aurora DSQL erfordert, dass alle Verbindungen die Transport Layer Security (TLS) -Verschlüsselung verwenden. Um sichere Verbindungen herzustellen, muss Ihr Client-System der Amazon Root Certificate Authority (Amazon Root CA 1) vertrauen. Dieses Zertifikat ist auf vielen Betriebssystemen vorinstalliert. Dieser Abschnitt enthält Anweisungen zur Überprüfung des vorinstallierten Amazon Root CA 1-Zertifikats auf verschiedenen Betriebssystemen und führt Sie durch den Prozess der manuellen Installation des Zertifikats, falls es noch nicht vorhanden ist.

Wir empfehlen die Verwendung von PostgreSQL Version 17.

Wichtig

Für Produktionsumgebungen empfehlen wir die Verwendung des verify-full SSL-Modus, um ein Höchstmaß an Verbindungssicherheit zu gewährleisten. In diesem Modus wird überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist und ob der Server-Hostname mit dem Zertifikat übereinstimmt.

Überprüfung der vorinstallierten Zertifikate

In den meisten Betriebssystemen ist Amazon Root CA 1 bereits vorinstalliert. Um dies zu überprüfen, können Sie die folgenden Schritte ausführen.

Linux (RedHat/CentOS/Fedora)

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

trust list | grep "Amazon Root CA 1"

Wenn das Zertifikat installiert ist, sehen Sie die folgende Ausgabe:

label: Amazon Root CA 1

macOS

  1. Öffnen Sie die Spotlight-Suche (Befehlstaste+Leertaste)

  2. Suchen Sie nach Keychain Access

  3. Wählen Sie unter Systemschlüsselanhänger die Option System Roots aus

  4. Suchen Sie in der Zertifikatsliste nach Amazon Root CA 1

Windows

Anmerkung

Aufgrund eines bekannten Problems mit dem PSQL-Windows-Client kann bei der Verwendung von Systemstammzertifikaten (sslrootcert=system) der folgende Fehler zurückgegeben werden:SSL error: unregistered scheme. Sie können das Verbindung von Windows aus herstellen als alternative Methode verwenden, um mithilfe von SSL eine Verbindung zu Ihrem Cluster herzustellen.

Wenn Amazon Root CA 1 nicht in Ihrem Betriebssystem installiert ist, gehen Sie wie folgt vor.

Zertifikate installieren

Wenn das Amazon Root CA 1 Zertifikat nicht auf Ihrem Betriebssystem vorinstalliert ist, müssen Sie es manuell installieren, um sichere Verbindungen zu Ihrem Aurora DSQL-Cluster herzustellen.

Installation des Linux-Zertifikats

Gehen Sie wie folgt vor, um das Amazon Root CA-Zertifikat auf Linux-Systemen zu installieren.

  1. Laden Sie das Root-Zertifikat herunter:

    wget https://www.amazontrust.com/repository/AmazonRootCA1.pem

  2. Kopieren Sie das Zertifikat in den Trust Store:

    sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/

  3. Aktualisieren Sie den CA Trust Store:

    sudo update-ca-trust

  4. Überprüfen Sie die Installation:

    trust list | grep "Amazon Root CA 1"

Installation des macOS-Zertifikats

Diese Schritte zur Installation des Zertifikats sind optional. Sie funktionieren Installation des Linux-Zertifikats auch für ein MacOS.

  1. Laden Sie das Root-Zertifikat herunter:

    wget https://www.amazontrust.com/repository/AmazonRootCA1.pem

  2. Fügen Sie das Zertifikat dem Systemschlüsselbund hinzu:

    sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem

  3. Überprüfen Sie die Installation:

    security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain

Verbindung wird mit SSL/TLS Bestätigung hergestellt

Bevor Sie SSL/TLS Zertifikate für sichere Verbindungen zu Ihrem Aurora DSQL-Cluster konfigurieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen.

  • PostgreSQL Version 17 installiert

  • AWS CLI mit den entsprechenden Anmeldeinformationen konfiguriert

  • Informationen zum Aurora DSQL-Cluster-Endpunkt

Von Linux aus wird eine Verbindung hergestellt

  1. Generieren und legen Sie das Authentifizierungstoken fest:

    export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)

  2. Stellen Sie mithilfe von Systemzertifikaten eine Verbindung her (falls vorinstalliert):

    PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint

  3. Oder stellen Sie mithilfe eines heruntergeladenen Zertifikats eine Verbindung her:

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint
Anmerkung

Weitere Informationen zu den PGSSLMODE-Einstellungen finden Sie unter sslmode in der Dokumentation zu den Funktionen zur Datenbankverbindungssteuerung von PostgreSQL 17.

Von macOS aus verbinden

  1. Generieren und legen Sie das Authentifizierungstoken fest:

    export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)

  2. Stellen Sie mithilfe von Systemzertifikaten eine Verbindung her (falls vorinstalliert):

    PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint

  3. Oder laden Sie das Stammzertifikat herunter und speichern Sie es unter root.pem (falls das Zertifikat nicht vorinstalliert ist)

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint

  4. Connect mit psql her:

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint

Verbindung von Windows aus herstellen

Verwenden der Befehlszeile

  1. Generieren Sie das Authentifizierungstoken:

    aws dsql generate-db-connect-admin-auth-token ^
--region=your-cluster-region ^
--expires-in=3600 ^
--hostname=your-cluster-endpoint

  2. Legen Sie die Umgebungsvariable für das Passwort fest:

    set "PGPASSWORD=token-from-above"

  3. Stellen Sie die SSL-Konfiguration ein:

    set PGSSLROOTCERT=C:\full\path\to\root.pem
set PGSSLMODE=verify-full

  4. Connect zur Datenbank her:

    "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^
--username admin ^
--host your-cluster-endpoint

Benutzen PowerShell

  1. Generieren und legen Sie das Authentifizierungstoken fest:

    $env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --expires-in=3600 --hostname=your-cluster-endpoint)

  2. Stellen Sie die SSL-Konfiguration ein:

    $env:PGSSLROOTCERT='C:\full\path\to\root.pem'
$env:PGSSLMODE='verify-full'

  3. Connect zur Datenbank her:

     "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres `
--username admin `
--host your-cluster-endpoint

Weitere Ressourcen