Puoi utilizzare Secure Socket Layer (SSL) o Transport Layer Security (TLS) dalla tua applicazione per crittografare una connessione a un database che esegue Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL.

Facoltativamente, la connessione SSL/TLS può eseguire la verifica dell'identità del server convalidando il certificato del server installato nel database. Per richiedere la verifica dell'identità del server, esegui questa procedura generale:

1. Scegli l'autorità di certificazione (CA) che firma il certificato del server di database per il database. Per ulteriori informazioni sulle autorità di certificazione, consulta Autorità di certificazione.

2. Scarica un bundle di certificati da utilizzare quando ti connetti al database. Per scaricare un bundle di certificati, consulta Pacchetti di certificati per tutti Regioni AWS e Pacchetti di certificati per scopi specifici Regioni AWS.

   Nota

   Tutti i certificati sono disponibili solo per il download tramite connessioni SSL/TLS.

3. Connettiti al database utilizzando il processo del motore di database per l'implementazione delle connessioni SSL/TLS. Ciascun motore database ha il proprio processo per l'implementazione di SSL/TLS. Per informazioni su come implementare SSL/TLS per il database, usa il collegamento corrispondente al motore di database in uso:

   • Utilizzo di SSL/TLS con un'istanza database Amazon RDS per Db2

   • Utilizzo di SSL/TLS con un'istanza database MariaDB

   • Utilizzo di SSL con un'istanza database Microsoft SQL Server

   • Utilizzo di SSL/TLS con un'istanza database MySQL

   • Utilizzo di SSL con un'istanza database RDS per Oracle

   • Utilizzo del protocollo SSL con un'istanza database PostgreSQL

Autorità di certificazione

L'autorità di certificazione (CA) è il certificato che identifica la CA root della catena di certificati. La CA firma il certificato del server di database, che è il certificato del server installato su ogni istanza database. Il certificato del server di database identifica l'istanza database come server attendibile.

Amazon RDS fornisce le seguenti CA per firmare il certificato del server DB per un database.

Autorità di certificazione (CA)	Descrizione
rds-ca-2019	Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 2048 e l'algoritmo di firma SHA256. Questa CA scade nel 2024 e non supporta la rotazione automatica dei certificati del server. Se utilizzi questa CA e desideri mantenere lo stesso standard, ti consigliamo di passare alla CA rds-ca-rsa 2048-g1.
rds-ca-rsa2048-g1	Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 2048 e l'algoritmo di firma SHA256 nella maggior parte delle Regioni AWS. Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma SHA384. Questa CA rimane valida più a lungo della CA rds-ca-2019 e supporta la rotazione automatica dei certificati del server.
rds-ca-rsa4096-g1	Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 4096 e l'algoritmo di firma SHA384. supporta la rotazione automatica dei certificati del server.
rds-ca-ecc384-g1	Utilizza un'autorità di certificazione con l'algoritmo a chiave privata ECC 384 e l'algoritmo di firma SHA384. supporta la rotazione automatica dei certificati del server.

Nota

Se utilizzi il AWS CLI, puoi vedere le validità delle autorità di certificazione sopra elencate utilizzando describe-certificates.

Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando si utilizza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, RDS gestisce il certificato del server DB sul database. RDS esegue automaticamente la rotazione del certificato del server di database prima della scadenza.

Impostazione della CA per il database

Puoi impostare la CA per un database quando esegui le seguenti attività:

• Crea un'istanza DB o un cluster DB Multi-AZ: puoi impostare la CA quando crei un'istanza o un cluster DB. Per istruzioni, consulta Creazione di un'istanza database Amazon RDS o Creazione di un cluster di database Multi-AZ.

• Modifica un'istanza DB o un cluster DB Multi-AZ: è possibile impostare la CA per un'istanza o un cluster DB modificandola. Per istruzioni, consulta Modifica di un'istanza database Amazon RDS o Modifica di un cluster di database Multi-AZ.

Nota

La CA predefinita è impostata su 2048-g1. rds-ca-rsa È possibile sovrascrivere la CA predefinita per il proprio Account AWS utilizzando il comando modify-certificates.

Le CA disponibili dipendono dal motore di database e dalla versione del motore di database. Quando si utilizza la AWS Management Console, è possibile scegliere la CA usando l'impostazione Certificate authority (Autorità di certificazione), come mostrato nell'immagine seguente.

La console mostra solo le CA disponibili per il motore di database e la versione del motore di database. Se si utilizza il AWS CLI, è possibile impostare la CA per un'istanza DB utilizzando il create-db-instancecomando or. modify-db-instance È possibile impostare la CA per un cluster DB Multi-AZ utilizzando il modify-db-clustercomando create-db-clusteror.

Se utilizzi il AWS CLI, puoi vedere le CA disponibili per il tuo account utilizzando il comando describe-certificates. Questo comando mostra nell'output anche la data di scadenza per ogni CA in ValidTill. Puoi trovare le CA disponibili per uno specifico motore DB e una versione del motore DB utilizzando il comando. describe-db-engine-versions

L'esempio seguente mostra le CA disponibili per la versione predefinita del motore di database RDS per PostgreSQL.

aws rds describe-db-engine-versions --default-only --engine postgres

L'output è simile a quello riportato di seguito. Le CA disponibili sono elencate in SupportedCACertificateIdentifiers. L'output mostra anche se la versione del motore di database supporta la rotazione del certificato senza riavvio in SupportsCertificateRotationWithoutRestart.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-2019",
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validità dei certificati del server di database

La validità del certificato del server di database dipende dal motore di database e dalla versione del motore di database. Se la versione del motore di database supporta la rotazione del certificato senza riavvio, la validità del certificato del server di database è di 1 anno. In caso contrario, la validità è di 3 anni.

Per ulteriori informazioni sulla rotazione dei certificati del server di database, consulta Rotazione automatica dei certificati del server.

Visualizzazione della CA per l'istanza DB

È possibile visualizzare i dettagli sulla CA di un database visualizzando la scheda Connettività e sicurezza nella console, come nell'immagine seguente.

Se si utilizza il AWS CLI, è possibile visualizzare i dettagli sulla CA per un'istanza DB utilizzando il describe-db-instancescomando. È possibile visualizzare i dettagli sulla CA per un cluster DB Multi-AZ utilizzando il describe-db-clusterscomando.

Per verificare il contenuto del bundle di certificati CA, utilizza il comando seguente:

keytool -printcert -v -file global-bundle.pem

Pacchetti di certificati per tutti Regioni AWS

Per ottenere un pacchetto di certificati per tutti Regioni AWS, scaricalo da https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem.

Il pacchetto contiene sia i certificati rds-ca-2019 intermedi che quelli root. Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1 CA rds-ca-rsa4096-g1 e rds-ca-ecc384-g1 root. L'application trust store deve solo registrare il certificato CA principale.

Se l'applicazione è su Microsoft Windows e richiede un file PKCS7, è possibile scaricare il pacchetto di certificati PKCS7 da https://truststore.pki.rds.amazonaws.com/global/global-bundle.p7b.

Nota

Il proxy i certificati di AWS Certificate Manager (ACM). Se utilizzi RDS Proxy, non è necessario scaricare certificati Amazon RDS o aggiornare applicazioni che utilizzano connessioni proxy RDS. Per ulteriori informazioni, consulta Utilizzo di TLS/SSL con RDS Proxy.

Pacchetti di certificati per scopi specifici Regioni AWS

Il pacchetto contiene sia i certificati rds-ca-2019 intermedi che quelli root. Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1 CA rds-ca-rsa4096-g1 e rds-ca-ecc384-g1 root. L'application trust store deve solo registrare il certificato CA principale.

Per ottenere un pacchetto di certificati per un Regione AWS, scaricalo dal link riportato Regione AWS nella tabella seguente.

AWS Region	Bundle di certificati (PEM)	Bundle di certificati (PKCS7)
Stati Uniti orientali (Virginia settentrionale)	us-east-1-bundle.pem	us-east-1-bundle.p7b
US East (Ohio)	us-east-2-bundle.pem	us-east-2-bundle.p7b
US West (N. California)	us-west-1-bundle.pem	us-west-1-bundle.p7b
US West (Oregon)	us-west-2-bundle.pem	us-west-2-bundle.p7b
Africa (Cape Town)	af-south-1-bundle.pem	af-sud-1-bundle.p7b
Asia Pacific (Hong Kong)	ap-east-1-bundle.pem	ap-east-1-bundle.p7b
Asia Pacific (Hyderabad)	ap-south-2-bundle.pem	ap-south-2-bundle.p7b
Asia Pacifico (Giacarta)	ap-southeast-3-bundle.pem	ap-southeast-3-bundle.p7b
Asia Pacifico (Melbourne)	ap-southeast-4-bundle.pem	ap-southeast-4-bundle.p7b
Asia Pacifico (Mumbai)	ap-south-1-bundle.pem	ap-south-1-bundle.p7b
Asia Pacific (Osaka)	ap-northeast-3-bundle.pem	ap-northeast-3-bundle.p7b
Asia Pacific (Tokyo)	ap-northeast-1-bundle.pem	ap-northeast-1-bundle.p7b
Asia Pacific (Seoul)	ap-northeast-2-bundle.pem	ap-northeast-2-bundle.p7b
Asia Pacific (Singapore)	ap-southeast-1-bundle.pem	ap-southeast-1-bundle.p7b
Asia Pacific (Sydney)	ap-southeast-2-bundle.pem	ap-southeast-2-bundle.p7b
Canada (Central)	ca-central-1-bundle.pem	ca-central-1-bundle.p7b
Canada occidentale (Calgary)	ca-west-1-bundle.pem	ca-west-1-bundle.p7b
Europa (Francoforte)	eu-central-1-bundle.pem	eu-central-1-bundle.p7b
Europe (Ireland)	eu-west-1-bundle.pem	eu-west-1-bundle.p7b
Europe (London)	eu-west-2-bundle.pem	eu-west-2-bundle.p7b
Europe (Milan)	eu-south-1-bundle.pem	eu-sud-1-bundle.p7b
Europe (Paris)	eu-west-3-bundle.pem	eu-west-3-bundle.p7b
Europa (Spagna)	eu-south-2-bundle.pem	eu-south-2-bundle.p7b
Europa (Stoccolma)	eu-nord-1-bundle.pem	eu-nord-1-bundle.p7b
Europa (Zurigo)	eu-central-2-bundle.pem	eu-central-2-bundle.p7b
Israele (Tel Aviv)	il-central-1-bundle.pem	il-central-1-bundle.p7b
Middle East (Bahrain)	me-sud-1-bundle.pem	me-sud-1-bundle.p7b
Medio Oriente (Emirati Arabi Uniti)	me-central-1-bundle.pem	me-central-1-bundle.p7b
Sud America (San Paolo)	sa-east-1-bundle.pem	sa-east-1-bundle.p7b

Certificati AWS GovCloud (US)

Per ottenere un pacchetto di certificati che contenga sia i certificati intermedi che i certificati root per il sistema AWS GovCloud (US) Region s, scaricalo da https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.pem.

Se l'applicazione è su Microsoft Windows e richiede un file PKCS7, è possibile scaricare il pacchetto di certificati PKCS7 da https://truststore.pki. us-gov-west-1.rds.amazonaws.com/global/global-bundle.p7b.

Il pacchetto contiene sia i certificati intermedi che quelli root. rds-ca-2019 Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1 CA rds-ca-rsa4096-g1 e rds-ca-ecc384-g1 root. L'application trust store deve solo registrare il certificato CA principale.

Per ottenere un pacchetto di certificati per un AWS GovCloud (US) Region, scaricalo dal link riportato AWS GovCloud (US) Region nella tabella seguente.

AWS GovCloud (US) Region	Bundle di certificati (PEM)	Bundle di certificati (PKCS7)
AWS GovCloud (Stati Uniti orientali)	us-gov-east-1 bundle.pem	us-gov-east-1 pacchetto.p7b
AWS GovCloud (Stati Uniti occidentali)	us-gov-west-1 bundle.pem	us-gov-west-1 pacchetto.p7b