Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos - Amazon Relational Database Service

Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos

Puede utilizar SSL (Capa de conexión segura) o TLS (Transport Layer Security) desde una aplicación para cifrar una conexión a una instancia de base de datos que ejecuta MySQL, MariaDB, SQL Server, Oracle o PostgreSQL. Cada motor base de datos tiene su propio proceso para implementar SSL/TLS. Para obtener información sobre cómo implementar SSL/TLS para una instancia de base de datos, utilice el enlace de la siguiente lista que corresponda a su motor de base de datos:

importante

Para obtener información sobre cómo rotar su certificado, consulte Rotar certificados SSL/TLS.

nota

Todos los certificados están disponibles solo para descarga con conexiones SSL/TLS.

Para obtener un certificado raíz que funcione en todas las regiones de AWS, excepto las regiones de AWS registradas, descárguelo desde https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem.

Este certificado raíz es una entidad raíz de confianza y debería funcionar en la mayoría de los casos, pero podría fallar si la aplicación no acepta cadenas de certificados. Si la aplicación no acepta cadenas de certificados, descargue el certificado específico de la región de AWS de la lista de certificados intermedios que se encuentra más adelante en esta sección.

Para obtener un paquete de certificados que contiene los certificados intermedios y raíz, descargue de https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem.

Si l aplicación está en Microsoft Windows y requiere un archivo PKCS7, puede descargar el paquete de certificados PKCS7. Este paquete contiene los certificados raíz e intermedios en https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b.

nota

Amazon RDS Proxy usa certificados de AWS Certificate Manager (ACM). Si está utilizando RDS Proxy, no es necesario descargar certificados de Amazon RDS ni actualizar aplicaciones que usen conexiones RDS Proxy. Para obtener más información sobre el uso de TLS/SSL con RDS Proxy, consulte Uso de TLS/SSL con RDS Proxy.

Certificados raíz para regiones de AWS registradas

Si utiliza una región de AWS registrada, puede descargar el certificado raíz de la tabla siguiente.

Región de AWS registrada Certificado raíz
África (Ciudad del Cabo) rds-ca-af-south-1-2019-root.pem
Asia Pacífico (Hong Kong) rds-ca-ap-east-1-2019-root.pem
Europa (Milán) rds-ca-eu-south-1-2019-root.pem
Medio Oriente (Baréin) rds-ca-me-south-1-2019-root.pem

Certificados intermedios

Es posible que necesite utilizar un certificado intermedio para conectarse a su región de AWS. Por ejemplo, debe utilizar un certificado intermedio para conectarse a la región AWS GovCloud (EE.UU. Oeste) usando SSL/TLS. Si necesita un certificado intermedio para una región de AWS determinada, descárguelo de la siguiente tabla:

Región AWS Certificado intermedio
Asia Pacífico (Mumbai) rds-ca-2019-ap-south-1.pem
Asia Pacífico (Tokio) rds-ca-2019-ap-northeast-1.pem
Asia Pacífico (Seúl) rds-ca-2019-ap-northeast-2.pem
Asia Pacífico (Osaka-local) rds-ca-2019-ap-northeast-3.pem
Asia Pacífico (Singapur) rds-ca-2019-ap-southeast-1.pem
Asia Pacífico (Sídney) rds-ca-2019-ap-southeast-2.pem
Canadá (Central) rds-ca-2019-ca-central-1.pem
Europa (Fráncfort) rds-ca-2019-eu-central-1.pem
Europa (Irlanda) rds-ca-2019-eu-west-1.pem
Europa (Londres) rds-ca-2019-eu-west-2.pem
Europa (París) rds-ca-2019-eu-west-3.pem
Europa (Estocolmo) rds-ca-2019-eu-north-1.pem
América del Sur (São Paulo) rds-ca-2019-sa-east-1.pem
US East (N. Virginia) rds-ca-2019-us-east-1.pem
EE.UU. Este (Ohio) rds-ca-2019-us-east-2.pem
EE.UU. Oeste (Norte de California) rds-ca-2019-us-west-1.pem
EE.UU. Oeste (Oregón) rds-ca-2019-us-west-2.pem

Certificados de AWS GovCloud (US)

Puede descargar el certificado raíz de una región AWS GovCloud (EE. UU.) en la siguiente lista:

AWS GovCloud (EE. UU. Este) (CA-2017 raíz)

AWS GovCloud (EE. UU. Oeste) (CA-2017 raíz)

Puede descargar el certificado intermedio para una región GovCloud (EE. UU.) de AWS de la siguiente lista:

AWS GovCloud (EE. UU. Este) (CA-2017)

AWS GovCloud (EE. UU.-Oeste) (CA-2017)

AWS GovCloud (EE. UU.-Oeste) (CA-2012)

Para obtener un paquete de certificados que contiene los certificados raíz e intermedios para las regiones de AWS GovCloud (US), descárguelo desde https://s3.us-gov-west-1.amazonaws.com/rds-downloads/rds-combined-ca-us-gov-bundle.pem.