Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzare Secure Socket Layer (SSL) o Transport Layer Security (TLS) dalla tua applicazione per crittografare una connessione a un database che esegue Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL.
Facoltativamente, la connessione SSL/TLS può eseguire la verifica dell'identità del server convalidando il certificato del server installato nel database. Per richiedere la verifica dell'identità del server, esegui questa procedura generale:
-
Scegli l'autorità di certificazione (CA) che firma il certificato del server di database per il database. Per ulteriori informazioni sulle autorità di certificazione, consulta Autorità di certificazione.
-
Scarica un bundle di certificati da utilizzare quando ti connetti al database. Per scaricare un bundle di certificati, consulta Pacchetti di certificati per tutti Regioni AWS e Pacchetti di certificati per scopi specifici Regioni AWS.
Nota
Tutti i certificati sono disponibili solo per il download tramite connessioni SSL/TLS.
-
Connettiti al database utilizzando il processo del motore di database per l'implementazione delle connessioni SSL/TLS. Ciascun motore database ha il proprio processo per l'implementazione di SSL/TLS. Per informazioni su come implementare SSL/TLS per il database, usa il collegamento corrispondente al motore di database in uso:
Autorità di certificazione
L'autorità di certificazione (CA) è il certificato che identifica la CA root della catena di certificati. La CA firma il certificato del server di database, che è il certificato del server installato su ogni istanza database. Il certificato del server di database identifica l'istanza database come server attendibile.
![Panoramica dell'autorità di certificazione](images/certificate-authority-overview.png)
Amazon RDS fornisce le seguenti CA per firmare il certificato del server DB per un database.
Autorità di certificazione (CA) | Descrizione |
---|---|
rds-ca-2019 |
Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 2048 e l'algoritmo di firma SHA256. Questa CA scade nel 2024 e non supporta la rotazione automatica dei certificati del server. Se utilizzi questa CA e desideri mantenere lo stesso standard, ti consigliamo di passare alla CA rds-ca-rsa 2048-g1. |
rds-ca-rsa2048-g1 |
Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 2048 e l'algoritmo di firma SHA256 nella maggior parte delle Regioni AWS. Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma SHA384. Questa CA rimane valida più a lungo della CA rds-ca-2019 e supporta la rotazione automatica dei certificati del server. |
rds-ca-rsa4096-g1 |
Utilizza un'autorità di certificazione con l'algoritmo a chiave privata RSA 4096 e l'algoritmo di firma SHA384. supporta la rotazione automatica dei certificati del server. |
rds-ca-ecc384-g1 |
Utilizza un'autorità di certificazione con l'algoritmo a chiave privata ECC 384 e l'algoritmo di firma SHA384. supporta la rotazione automatica dei certificati del server. |
Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando si utilizza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, RDS gestisce il certificato del server DB sul database. RDS esegue automaticamente la rotazione del certificato del server di database prima della scadenza.
Impostazione della CA per il database
Puoi impostare la CA per un database quando esegui le seguenti attività:
-
Crea un'istanza DB o un cluster DB Multi-AZ: puoi impostare la CA quando crei un'istanza o un cluster DB. Per istruzioni, consulta Creazione di un'istanza database Amazon RDS o Creazione di un cluster di database Multi-AZ.
-
Modifica un'istanza DB o un cluster DB Multi-AZ: è possibile impostare la CA per un'istanza o un cluster DB modificandola. Per istruzioni, consulta Modifica di un'istanza database Amazon RDS o Modifica di un cluster di database Multi-AZ.
Nota
La CA predefinita è impostata su 2048-g1. rds-ca-rsa È possibile sovrascrivere la CA predefinita per il proprio Account AWS utilizzando il comando modify-certificates.
Le CA disponibili dipendono dal motore di database e dalla versione del motore di database. Quando si utilizza la AWS Management Console, è possibile scegliere la CA usando l'impostazione Certificate authority (Autorità di certificazione), come mostrato nell'immagine seguente.
![Opzione Certificate authority (Autorità di certificazione)](images/certificate-authority.png)
La console mostra solo le CA disponibili per il motore di database e la versione del motore di database. Se si utilizza il AWS CLI, è possibile impostare la CA per un'istanza DB utilizzando il create-db-instancecomando or. modify-db-instance È possibile impostare la CA per un cluster DB Multi-AZ utilizzando il modify-db-clustercomando create-db-clusteror.
Se utilizzi il AWS CLI, puoi vedere le CA disponibili per il tuo account utilizzando il comando describe-certificates. Questo comando mostra nell'output anche la data di scadenza per ogni CA in ValidTill
. Puoi trovare le CA disponibili per uno specifico motore DB e una versione del motore DB utilizzando il comando. describe-db-engine-versions
L'esempio seguente mostra le CA disponibili per la versione predefinita del motore di database RDS per PostgreSQL.
aws rds describe-db-engine-versions --default-only --engine postgres
L'output è simile a quello riportato di seguito. Le CA disponibili sono elencate in SupportedCACertificateIdentifiers
. L'output mostra anche se la versione del motore di database supporta la rotazione del certificato senza riavvio in SupportsCertificateRotationWithoutRestart
.
{
"DBEngineVersions": [
{
"Engine": "postgres",
"MajorEngineVersion": "13",
"EngineVersion": "13.4",
"DBParameterGroupFamily": "postgres13",
"DBEngineDescription": "PostgreSQL",
"DBEngineVersionDescription": "PostgreSQL 13.4-R1",
"ValidUpgradeTarget": [],
"SupportsLogExportsToCloudwatchLogs": false,
"SupportsReadReplica": true,
"SupportedFeatureNames": [
"Lambda"
],
"Status": "available",
"SupportsParallelQuery": false,
"SupportsGlobalDatabases": false,
"SupportsBabelfish": false,
"SupportsCertificateRotationWithoutRestart": true,
"SupportedCACertificateIdentifiers": [
"rds-ca-2019",
"rds-ca-rsa2048-g1",
"rds-ca-ecc384-g1",
"rds-ca-rsa4096-g1"
]
}
]
}
Validità dei certificati del server di database
La validità del certificato del server di database dipende dal motore di database e dalla versione del motore di database. Se la versione del motore di database supporta la rotazione del certificato senza riavvio, la validità del certificato del server di database è di 1 anno. In caso contrario, la validità è di 3 anni.
Per ulteriori informazioni sulla rotazione dei certificati del server di database, consulta Rotazione automatica dei certificati del server.
Visualizzazione della CA per l'istanza DB
È possibile visualizzare i dettagli sulla CA di un database visualizzando la scheda Connettività e sicurezza nella console, come nell'immagine seguente.
![Dettagli dell'autorità di certificazione](images/certificate-authority-details.png)
Se si utilizza il AWS CLI, è possibile visualizzare i dettagli sulla CA per un'istanza DB utilizzando il describe-db-instancescomando. È possibile visualizzare i dettagli sulla CA per un cluster DB Multi-AZ utilizzando il describe-db-clusterscomando.
Per verificare il contenuto del bundle di certificati CA, utilizza il comando seguente:
keytool -printcert -v -file global-bundle.pem
Pacchetti di certificati per tutti Regioni AWS
Il pacchetto contiene sia i certificati rds-ca-2019
intermedi che quelli root. Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1
CA rds-ca-rsa4096-g1
e rds-ca-ecc384-g1
root. L'application trust store deve solo registrare il certificato CA principale.
Nota
Il proxy i certificati di AWS Certificate Manager (ACM). Se utilizzi RDS Proxy, non è necessario scaricare certificati Amazon RDS o aggiornare applicazioni che utilizzano connessioni proxy RDS. Per ulteriori informazioni, consulta Utilizzo di TLS/SSL con RDS Proxy.
Pacchetti di certificati per scopi specifici Regioni AWS
Il pacchetto contiene sia i certificati rds-ca-2019
intermedi che quelli root. Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1
CA rds-ca-rsa4096-g1
e rds-ca-ecc384-g1
root. L'application trust store deve solo registrare il certificato CA principale.
Per ottenere un pacchetto di certificati per un Regione AWS, scaricalo dal link riportato Regione AWS nella tabella seguente.
Certificati AWS GovCloud (US)
Se l'applicazione è su Microsoft Windows e richiede un file PKCS7, è possibile scaricare il pacchetto di certificati PKCS7 da https://truststore.pki. us-gov-west
Il pacchetto contiene sia i certificati intermedi che quelli root. rds-ca-2019
Il pacchetto contiene anche i certificati rds-ca-rsa2048-g1
CA rds-ca-rsa4096-g1
e rds-ca-ecc384-g1
root. L'application trust store deve solo registrare il certificato CA principale.
Per ottenere un pacchetto di certificati per un AWS GovCloud (US) Region, scaricalo dal link riportato AWS GovCloud (US) Region nella tabella seguente.
AWS GovCloud (US) Region | Bundle di certificati (PEM) | Bundle di certificati (PKCS7) |
---|---|---|
AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 bundle.pem |
us-gov-east-1 pacchetto.p7b |
AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 bundle.pem |
us-gov-west-1 pacchetto.p7b |