- Amazon Relational Database Service

Autorités de certification Des packs de certificats pour tous Régions AWS Packs de certificats pour des applications spécifiques Régions AWS AWS GovCloud (US) Certificats

Vous pouvez utiliser le protocole SSL (Secure Socket Layer) ou le protocole TLS (Transport Layer Security) depuis votre application pour chiffrer une connexion à une base de données exécutant Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle ou PostgreSQL.

En option, votre connexion SSL/TLS peut effectuer une vérification de l'identité du serveur en validant le certificat de serveur installé sur votre base de données. Pour exiger la vérification de l'identité du serveur, suivez ce processus général :

Choisissez l'autorité de certification (CA) qui signe le certificat de serveur de base de données pour votre base de données. Pour plus d'informations sur les autorités de certification, consultez Autorités de certification.
Téléchargez une offre groupée de certificats à utiliser lorsque vous vous connectez à la base de données. Pour télécharger une offre groupée de certificats, consultez Des packs de certificats pour tous Régions AWS et Packs de certificats pour des applications spécifiques Régions AWS.

Note
Tous les certificats sont disponibles uniquement pour le téléchargement sur des connexions SSL/TLS.
Connectez-vous à la base de données en utilisant le processus de votre moteur de base de données pour mettre en œuvre des connexions SSL/TLS. Chaque moteur DB possède son propre processus d'implémentation SSL/TLS. Pour apprendre à implémenter SSL/TLS pour votre base de données, utilisez le lien qui correspond à votre moteur de base de données :

Autorités de certification

L'autorité de certification (CA) est le certificat qui identifie l'autorité de certification racine en haut de la chaîne de certificats. L'autorité de certification signe le certificat de serveur de base de données, qui est installé sur chaque instance de base de données. Le certificat de serveur de base de données identifie l'instance de base de données en tant que serveur approuvé.

Amazon RDS fournit les autorités de certification suivantes pour signer le certificat de serveur de base de données pour une base de données.

Autorité de certification (CA)	Description
rds-ca-2019	Utilise une autorité de certification avec l'algorithme de clé privée RSA 2048 et l'algorithme de signature SHA256. Cette autorité de certification expire en 2024 et ne prend pas en charge la rotation automatique des certificats de serveur. Si vous utilisez cette autorité de certification et souhaitez conserver la même norme, nous vous recommandons de passer à l'autorité de certification rds-ca-rsa 2048-g1.
rds-ca-rsa2048-g1	Utilise une autorité de certification avec l'algorithme de clé privée RSA 2048 et l'algorithme de signature SHA256 dans la plupart des Régions AWS. Dans le AWS GovCloud (US) Regions, cette autorité de certification utilise une autorité de certification avec l'algorithme de clé privée RSA 2048 et l'algorithme de signature SHA384. Cette autorité de certification reste valide plus longtemps que l'autorité de certification rds-ca-2019. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur.
rds-ca-rsa4096-g1	Utilise une autorité de certification avec l'algorithme de clé privée RSA 4096 et l'algorithme de signature SHA384. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur.
rds-ca-ecc384-g1	Utilise une autorité de certification avec l'algorithme de clé privée ECC 384 et l'algorithme de signature SHA384. Cette autorité de certification prend en charge la rotation automatique des certificats de serveur.

Note

Si vous utilisez le AWS CLI, vous pouvez vérifier la validité des autorités de certification répertoriées ci-dessus en utilisant describe-certificates.

Ces certificats de CA sont inclus dans la solution groupée de certificats régionaux et mondiaux. Lorsque vous utilisez l'autorité de certification rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 ou rds-ca-ecc 384-g1 avec une base de données, RDS gère le certificat du serveur de base de données sur la base de données. RDS effectue automatiquement la rotation du certificat de serveur de base de données avant son expiration.

Configuration de l'autorité de certification pour votre base de données

Vous pouvez définir l'autorité de certification pour une base de données lorsque vous effectuez les tâches suivantes :

Création d'une instance de base de données ou d'un cluster de base de données multi-AZ : vous pouvez définir l'autorité de certification lorsque vous créez une instance ou un cluster de base de données. Pour obtenir des instructions, consultez Création d'une instance de base de données Amazon RDS ou Création d'un cluster de base de données multi-AZ.
Modifier une instance de base de données ou un cluster de base de données multi-AZ : vous pouvez définir l'autorité de certification pour une instance ou un cluster de base de données en le modifiant. Pour obtenir des instructions, consultez Modification d'une instance de base de données Amazon RDS ou Modification d'un cluster de base de données multi-AZ.

Note

L'autorité de certification par défaut est définie sur rds-ca-rsa 2048-g1. Vous pouvez remplacer l'autorité de certification par défaut pour votre Compte AWS compte à l'aide de la commande modify-certificates.

Les autorités de certification disponibles dépendent du moteur de base de données et de sa version. Lorsque vous utilisez la AWS Management Console, vous pouvez choisir l'autorité de certification à l'aide du paramètre Certificate authority (Autorité de certification), comme indiqué dans l'image suivante.

La console affiche uniquement les autorités de cerification disponibles pour le moteur de base de données et sa version. Si vous utilisez le AWS CLI, vous pouvez définir l'autorité de certification pour une instance de base de données à l'aide de la modify-db-instancecommande create-db-instanceor. Vous pouvez définir l'autorité de certification pour un cluster de base de données multi-AZ à l'aide de la modify-db-clustercommande create-db-clusteror.

Si vous utilisez le AWS CLI, vous pouvez voir les autorités de certification disponibles pour votre compte à l'aide de la commande describe-certificates. Cette commande indique également la date d'expiration de chaque autorité de certification dans ValidTill, dans la sortie. Vous pouvez trouver les autorités de certification disponibles pour un moteur de base de données et une version de moteur de base de données spécifiques à l'aide de la describe-db-engine-versionscommande.

L'exemple suivant montre les autorités de certification disponibles pour la version par défaut du moteur de base de données RDS for PostgreSQL.


aws rds describe-db-engine-versions --default-only --engine postgres

Votre sortie est similaire à ce qui suit. Les autorités de certification disponibles sont répertoriées dans SupportedCACertificateIdentifiers. La sortie indique également si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage dans SupportsCertificateRotationWithoutRestart.


{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validité des certificats de serveur de base de données

La validité du certificat de serveur de base de données dépend du moteur de base de données et de la version du moteur de base de données. Si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage, la validité du certificat de serveur de base de données est de 1 an. Dans le cas contraire, la validité est de 3 ans.

Pour plus d'informations sur la rotation des certificats de serveur de base de données, consultez Rotation automatique du certificat de serveur.

Afficher l'autorité de certification de votre instance de base de données

Vous pouvez consulter les détails relatifs à l'autorité de certification d'une base de données en consultant l'onglet Connectivité et sécurité de la console, comme dans l'image suivante.

Si vous utilisez le AWS CLI, vous pouvez afficher les détails de l'autorité de certification pour une instance de base de données à l'aide de la describe-db-instancescommande. Vous pouvez afficher les détails de l'autorité de certification pour un cluster de base de données multi-AZ à l'aide de la describe-db-clusterscommande.

Pour vérifier le contenu de votre offre groupée de certificats d'autorité de certification, utilisez la commande suivante :


keytool -printcert -v -file global-bundle.pem

Des packs de certificats pour tous Régions AWS

Pour obtenir un ensemble de certificats contenant à la fois les certificats intermédiaires et racines pour tous Régions AWS, téléchargez-le depuis https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem.

Si votre application est sur Microsoft Windows et nécessite un fichier PKCS7, vous pouvez télécharger l'ensemble de certificats PKCS7. Cette solution groupée contient à la fois les certificats intermédiaires et racine à l'adresse https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

Note

Le proxy les certificats du AWS Certificate Manager (ACM). Si vous utilisez le proxy RDS, vous n'avez pas besoin de télécharger les certificats Amazon RDS ni de mettre à jour les applications qui utilisent des connexions au proxy RDS. Pour plus d’informations, consultez Utilisation de TLS/SSL avec RDS Proxy.

Packs de certificats pour des applications spécifiques Régions AWS

Pour obtenir un ensemble de certificats contenant à la fois les certificats intermédiaires et racines d'un Région AWS, téléchargez-le à partir du lien correspondant Région AWS dans le tableau suivant.

AWS Région	Solution groupée de certificats (PEM)	Solution groupée de certificats (PKCS7)
US East (N. Virginia)	us-east-1-bundle.pem	us-east-1-bundle.p7b
US East (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
US West (N. California)	us-west-1-bundle.pem	us-west-1-bundle.p7b
US West (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Africa (Cape Town)	af-south-1-bundle.pem	af-south-1-bundle.p7b
Asia Pacific (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asie-Pacifique (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asie-Pacifique (Jakarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asie-Pacifique (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia Pacific (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pacific (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pacific (Tokyo)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pacific (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pacific (Singapore)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pacific (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Canada (Central)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Canada Ouest (Calgary)	ca-west-1-bundle.pem	ca-west-1-bundle.p7b
Europe (Frankfurt)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Europe (Ireland)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Europe (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Europe (Milan)	eu-south-1-bundle.pem	eu-south-1-bundle.p7b
Europe (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Europe (Espagne)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Europe (Stockholm)	eu-north-1-bundle.pem	eu-north-1-bundle.p7b
Europe (Zurich)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Israël (Tel Aviv)	il-central-1-bundle.pem	il-central-1-bundle.p7b
Middle East (Bahrain)	me-south-1-bundle.pem	me-south-1-bundle.p7b
Moyen-Orient (EAU)	me-central-1-bundle.pem	me-central-1-bundle.p7b
Amérique du Sud (São Paulo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b

AWS GovCloud (US) Certificats

Pour obtenir un ensemble de certificats contenant à la fois les certificats intermédiaires et racines pour le AWS GovCloud (US) Region s, téléchargez-le depuis https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem.

Si votre application est sur Microsoft Windows et nécessite un fichier PKCS7, vous pouvez télécharger l'ensemble de certificats PKCS7. Ce bundle contient à la fois les certificats intermédiaires et racines sur https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Pour obtenir un ensemble de certificats contenant à la fois les certificats intermédiaires et racines d'un AWS GovCloud (US) Region, téléchargez-le à partir du lien AWS GovCloud (US) Region correspondant dans le tableau suivant.

AWS GovCloud (US) Region	Solution groupée de certificats (PEM)	Solution groupée de certificats (PKCS7)
AWS GovCloud (USA Est)	us-gov-east-1-bundle.pem	us-gov-east-1-bundle.p7b
AWS GovCloud (US-Ouest)	us-gov-west-1-bundle.pem	us-gov-west-1-bundle.p7b

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion AWS KMS key

Rotation de votre certificat SSL/TLS