Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei SSL/TLS certificati per le connessioni Aurora DSQL
Aurora DSQL richiede che tutte le connessioni utilizzino la crittografia Transport Layer Security (TLS). Per stabilire connessioni sicure, il sistema client deve affidarsi all'Amazon Root Certificate Authority (Amazon Root CA 1). Questo certificato è preinstallato su molti sistemi operativi. Questa sezione fornisce istruzioni per verificare il certificato Amazon Root CA 1 preinstallato su vari sistemi operativi e guida l'utente attraverso il processo di installazione manuale del certificato, se non è già presente.
Si consiglia di utilizzare PostgreSQL versione 17.
Importante
Per gli ambienti di produzione, consigliamo di utilizzare la modalità verify-full SSL per garantire il massimo livello di sicurezza della connessione. Questa modalità verifica che il certificato del server sia firmato da un'autorità di certificazione affidabile e che il nome host del server corrisponda al certificato.
Verifica dei certificati preinstallati
Nella maggior parte dei sistemi operativi, Amazon Root CA 1 è già preinstallato. Per convalidarlo, puoi seguire i passaggi seguenti.
Linux () RedHat/CentOS/Fedora
Esegui il seguente comando nel tuo terminale:
trust list | grep "Amazon Root CA 1"
Se il certificato è installato, viene visualizzato il seguente output:
label: Amazon Root CA 1
macOS
-
Apri Spotlight Search (Comando+Spazio)
-
Cerca Keychain Access
-
Seleziona System Roots in System Keychains
-
Cerca Amazon Root CA 1 nell'elenco dei certificati
Windows
Nota
A causa di un problema noto con il client Windows psql, l'utilizzo dei certificati root di sistema (sslrootcert=system) può restituire il seguente errore:SSL error: unregistered scheme. Puoi seguire il Connessione da Windows metodo alternativo per connetterti al tuo cluster tramite SSL.
Se Amazon Root CA 1 non è installato nel tuo sistema operativo, procedi nel seguente modo.
Installazione dei certificati
Se il Amazon Root CA 1 certificato non è preinstallato sul sistema operativo, sarà necessario installarlo manualmente per stabilire connessioni sicure al cluster Aurora DSQL.
Installazione del certificato Linux
Segui questi passaggi per installare il certificato Amazon Root CA su sistemi Linux.
-
Scarica il certificato root:
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem -
Copia il certificato nel trust store:
sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/ -
Aggiorna il CA trust store:
sudo update-ca-trust -
Verifica l'installazione:
trust list | grep "Amazon Root CA 1"
Installazione del certificato macOS
Questi passaggi di installazione dei certificati sono facoltativi. Funzionano Installazione del certificato Linux anche per macOS.
-
Scarica il certificato principale:
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem -
Aggiungi il certificato al portachiavi di sistema:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem -
Verifica l'installazione:
security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain
Connessione con SSL/TLS verifica
Prima di configurare SSL/TLS i certificati per connessioni sicure al cluster Aurora DSQL, assicurati di avere i seguenti prerequisiti.
-
PostgreSQL versione 17 installata
-
AWS CLI configurato con le credenziali appropriate
-
Informazioni sugli endpoint del cluster Aurora DSQL
Connessione da Linux
-
Genera e imposta il token di autenticazione:
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--hostnameyour-cluster-endpoint) -
Connect utilizzando certificati di sistema (se preinstallati):
PGSSLROOTCERT=system \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint -
Oppure, connettiti utilizzando un certificato scaricato:
PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint
Nota
Connessione da macOS
-
Genera e imposta il token di autenticazione:
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--hostnameyour-cluster-endpoint) -
Connect utilizzando certificati di sistema (se preinstallati):
PGSSLROOTCERT=system \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint -
Oppure, scarica il certificato principale e salvalo con nome
root.pem(se il certificato non è preinstallato)PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql —dbname postgres \ --username admin \ --host your_cluster_endpoint -
Connect usando psql:
PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql —dbname postgres \ --username admin \ --host your_cluster_endpoint
Connessione da Windows
Utilizzo del prompt dei comandi
-
Genera il token di autenticazione:
aws dsql generate-db-connect-admin-auth-token ^ --region=your-cluster-region^ --expires-in=3600 ^ --hostname=your-cluster-endpoint -
Imposta la variabile di ambiente della password:
set "PGPASSWORD=token-from-above" -
Imposta la configurazione SSL:
set PGSSLROOTCERT=C:\full\path\to\root.pem set PGSSLMODE=verify-full -
Connect al database:
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^ --username admin ^ --hostyour-cluster-endpoint
Usando PowerShell
-
Genera e imposta il token di autenticazione:
$env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--expires-in=3600 --hostname=your-cluster-endpoint) -
Imposta la configurazione SSL:
$env:PGSSLROOTCERT='C:\full\path\to\root.pem' $env:PGSSLMODE='verify-full' -
Connect al database:
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ` --username admin ` --hostyour-cluster-endpoint
Risorse aggiuntive
