Chiffrement des connexions Amazon RDS et Amazon Aurora dans AWS SCT - AWS Schema Conversion Tool

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des connexions Amazon RDS et Amazon Aurora dans AWS SCT

Pour ouvrir des connexions cryptées aux bases de données Amazon RDS ou Amazon Aurora à partir d'une application, vous devez importer des certificats AWS racine dans une forme de stockage de clés. Vous pouvez télécharger les certificats racine depuis AWS la page Utiliser SSL/TLS pour chiffrer une connexion à une instance de base de données dans le Guide de l'utilisateur Amazon RDS.

Deux options sont disponibles : un certificat racine qui fonctionne pour toutes les AWS régions et un bundle de certificats qui contient à la fois les anciens et les nouveaux certificats racines.

En fonction de l'utilisation que vous souhaitez utiliser, suivez les étapes de l'une des deux procédures suivantes.

Pour importer le ou les certificats dans le stockage système Windows

  1. Téléchargez un ou plusieurs certificats à partir de l'une des sources suivantes :

    Pour plus d'informations sur le téléchargement de certificats, consultez Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données dans le Guide de l'utilisateur Amazon RDS.

  2. Dans la fenêtre de recherche Windows, saisissezManage computer certificates. Lorsque vous êtes invité à autoriser l'application à apporter des modifications à votre ordinateur, choisissez Oui.

  3. Lorsque la fenêtre des certificats s'ouvre, si nécessaire, développez Certificats - Ordinateur local pour voir la liste des certificats. Ouvrez le menu contextuel (clic droit) pour les autorités de certification racine fiables, puis choisissez Toutes les tâches, Importer.

  4. Choisissez Suivant, puis Parcourir et recherchez le *.pem fichier que vous avez téléchargé à l'étape 1. Choisissez Ouvrir pour sélectionner le fichier de certificat, choisissez Suivant, puis cliquez sur Terminer.

    Note

    Pour rechercher le fichier, modifiez le type de fichier dans la fenêtre de navigation en sélectionnant Tous les fichiers (*.*), car il ne .pem s'agit pas d'une extension de certificat standard.

  5. Dans la console de gestion Microsoft, développez Certificats. Développez ensuite Trusted Root Certification Authorities, choisissez Certificats et recherchez le certificat pour confirmer son existence. Le nom du certificat commence parAmazon RDS.

  6. Redémarrez votre ordinateur.

Pour importer le ou les certificats dans Java KeyStore

  1. Téléchargez le ou les certificats à partir de l'une des sources suivantes :

    Pour plus d'informations sur le téléchargement de certificats, consultez Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données dans le Guide de l'utilisateur Amazon RDS.

  2. Si vous avez téléchargé le bundle de certificats, divisez-le en fichiers de certificats individuels. Pour ce faire, placez chaque bloc de certificat, en commençant par -----BEGIN CERTIFICATE----- et en terminant par, -----END CERTIFICATE----- dans *.pem des fichiers distincts. Après avoir créé un *.pem fichier distinct pour chaque certificat, vous pouvez supprimer le fichier du bundle de certificats en toute sécurité.

  3. Ouvrez une fenêtre de commande ou une session de terminal dans le répertoire dans lequel vous avez téléchargé le certificat et exécutez la commande suivante pour chaque *.pem fichier que vous avez créé à l'étape précédente.

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    L'exemple suivant suppose que vous avez téléchargé le eu-west-1-bundle.pem fichier.

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. Ajoutez le keystore en tant que trust store dansAWS SCT. Pour ce faire, dans le menu principal, choisissez Paramètres, Paramètres généraux, Sécurité, Trust Store, puis sélectionnez Select existing Trust Store.

    Après avoir ajouté le trust store, vous pouvez l'utiliser pour configurer une connexion SSL lorsque vous créez une AWS SCT connexion à la base de données. Dans la boîte de dialogue AWS SCT Connexion à la base de données, choisissez Utiliser SSL et choisissez le trust store saisi précédemment.