Connessione tramite SSL Utilizzo di certificati CA attendibili e SSL in ODBC Utilizzo di certificati server e SSL in Java

Configurazione delle opzioni di sicurezza per le connessioni

Amazon Redshift supporta le connessioni Secure Sockets Layer (SSL) per crittografare i dati e i certificati server per convalidare il certificato del server a cui si connette il client.

Connessione tramite SSL

Per supportare le connessioni SSL, Amazon Redshift crea e installa un certificato SSL emesso da AWS Certificate Manager (ACM) su ciascun cluster. I certificati ACM sono attendibili pubblicamente dalla maggior parte dei sistemi operativi, dei browser Web e dei client. Potresti aver bisogno di scaricare un bundle di certificati se i tuoi client o applicazioni SQL si connettono ad Amazon Redshift usando SSL con l'opzione di connessione sslmode impostata su require, verify-ca, o verify-full. Se il cliente ha bisogno di un certificato, Amazon Redshift fornisce un certificato di bundle come segue:

Scarica il bundle da https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt..
- Il numero di checksum MD5 previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Non utilizzare certificato di bundle precedente che si trovava in https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.
In Cina, scarica il pacchetto da https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt. Regione AWS
- Il numero di checksum MD5 previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Non utilizzare i certificati di bundle precedenti che si trovavano in https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt e https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

Importante

Amazon Redshift ha modificato la modalità di gestione dei certificati SSL. Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL. Per ulteriori informazioni, consultare Passaggio ai certificati ACM per connessioni SSL.

Per impostazione predefinita, i database del cluster accettano una connessione, che utilizzi o meno SSL. Per configurare il cluster per richiedere una connessione SSL, imposta il parametro require_SSL su true nel gruppo di parametri associato con il cluster.

Amazon Redshift supporta una modalità SSL conforme al Federal Information Processing Standard (FIPS) 140-2. Per impostazione predefinita, la modalità SSL conforme allo standard FIPS è disabilitata.

Importante

Abilita la modalità SSL conforme a FIPS solo se il sistema deve essere conforme a FIPS.

Per abilitare la modalità SSL conforme a FIPS, imposta sia il use_fips_ssl parametro che il parametro true nel gruppo di parametri associato require_SSL al cluster Amazon Redshift o al gruppo di lavoro Redshift Serverless. Per informazioni sulla modifica di un gruppo di parametri in un cluster, consulta. Gruppi di parametri di Amazon Redshift. Per informazioni sulla modifica di un gruppo di parametri in un gruppo di lavoro, vedere. Configurazione di una connessione SSL conforme a FIPS ad Amazon Redshift Serverless

Amazon Redshift supporta il protocollo di accordo chiave Elliptic Curve DiffieHellman Ephemeral (ECDHE). Con il protocollo ECDHE, il client e il server hanno ciascuno una coppia di chiavi pubblica-privata a curva ellittica utilizzata per stabilire un segreto condiviso su un canale insicuro. Per abilitare ECDHE non è necessario eseguire alcuna configurazione in Amazon Redshift. Se ci si connette da uno strumento client SQL che utilizza ECDHE per crittografare la comunicazione tra il client e il server, Amazon Redshift utilizza l'elenco di crittografie fornito per stabilire la connessione appropriata. Per ulteriori informazioni, consultare Elliptic curve diffie-hellman su Wikipedia e Ciphers sul sito Web di OpenSSL.

Utilizzo di certificati CA attendibili e SSL in ODBC

Se ci si connette utilizzando la versione più recente dei driver ODBC di Amazon Redshift (versione 1.3.7.1000 o successiva), è possibile saltare questa sezione. Per scaricare i driver più aggiornati, consultare Configurazione di una connessione ODBC.

Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL. Per ulteriori informazioni, consultare Connessione tramite SSL.

È possibile verificare che il certificato scaricato corrisponda a questo numero di checksum MD5 previsto. Per fare ciò, è possibile utilizzare il programma Md5sum sui sistemi operativi Linux o un altro strumento sui sistemi operativi Windows e macOS X.

I DSN ODBC contengono un'impostazione sslmode che determina come gestire la crittografia per le connessioni client e la verifica dei certificati del server. Amazon Redshift supporta i seguenti valori sslmode dalla connessione client:

disable

Il protocollo SSL è disabilitato e la connessione non è crittografata.
allow

Il protocollo SSL è utilizzato se il server lo richiede.
prefer

Se il server lo supporta, è utilizzato il protocollo SSL. Amazon Redshift supporta SSL, quindi SSL viene utilizzato quando si imposta sslmode su prefer.
require

Il protocollo SSL è obbligatorio.
verify-ca

È necessario utilizzare il protocollo SSL e verificare il certificato del server.
verify-full

È necessario utilizzare il protocollo SSL. È necessario verificare il certificato del server e il nome host del server deve corrispondere all'attributo del nome host sul certificato.

È possibile determinare se SSL viene utilizzato e se i certificati del server sono verificati in una connessione tra il client e il server. Per farlo, è necessario rivedere l'impostazione sslmode del DSN ODBC lato client e l'impostazione require_SSL del cluster Amazon Redshift sul server. La tabella seguente descrive il risultato della crittografia per varie combinazioni di configurazione di client e server:

sslmode (client)	require_SSL (server)	Risultato
`disable`	`false`	La connessione non è crittografata.
`disable`	`true`	Non è possibile stabilire la connessione perché il server richiede il protocollo SSL e il client lo ha disabilitato per la connessione.
`allow`	`true`	La connessione è crittografata.
`allow`	`false`	La connessione non è crittografata.
`prefer` o `require`	`true`	La connessione è crittografata.
`prefer` o `require`	`false`	La connessione è crittografata.
`verify-ca`	`true`	La connessione è crittografata e il certificato del server verificato.
`verify-ca`	`false`	La connessione è crittografata e il certificato del server verificato.
`verify-full`	`true`	La connessione è crittografata e il certificato del server e il nome host sono verificati.
`verify-full`	`false`	La connessione è crittografata e il certificato del server e il nome host sono verificati.

Connessione tramite il certificato del server con ODBC su Microsoft Windows

Se si desidera connettersi al cluster utilizzando SSL e il certificato server, scaricare innanzitutto il certificato nel computer client o nell'istanza Amazon EC2. Quindi configurare il DSN ODBC.

Scaricare il bundle di autorità di certificazione di Amazon Redshift sul computer client nella cartella lib all'interno della directory di installazione del driver e salvare il file come root.crt. Per informazioni di download, consulta Connessione tramite SSL.
Aprire ODBC Data Source Administrator (Amministratore di origini dati ODBC) e aggiungere o modificare la voce DSN di sistema per la connessione ODBC. Per SSL Mode (Modalità SSL), selezionare verify-full a meno che non si utilizzi un alias DNS. Se si utilizza un alias DNS, selezionare verify-ca. Quindi scegli Save (Salva).

Per ulteriori informazioni sulla configurazione di un DSN ODBC, consultare Configurazione di una connessione ODBC.

Utilizzo di certificati server e SSL in Java

Il protocollo SSL fornisce un livello di sicurezza crittografando i dati che si spostano tra client e cluster. Tramite l'uso di un certificato del server offre un ulteriore livello di sicurezza verificando che il cluster sia un cluster di Amazon Redshift. A tale scopo, verifica che il certificato del server sia installato automaticamente su tutti i cluster per cui effettui il provisioning. Per ulteriori informazioni sull'utilizzo di certificati server con JDBC, consultare l'articolo sulla configurazione del client nella documentazione di PostgreSQL.

Connessione tramite certificati CA attendibili in Java

Importante

Per connettersi tramite certificati CA attendibili

Puoi utilizzare il redshift-keytool.jar file per importare i certificati CA del bundle Amazon Redshift Certificate Authority in Java TrustStore o in un pacchetto privato. TrustStore

Se si utilizza l'opzione -Djavax.net.ssl.trustStore della riga di comando Java, rimuoverla dalla riga di comando, se possibile.
Scaricare redshift-keytool.jar.
Esegui una di queste operazioni:
- Per importare il pacchetto Amazon Redshift Certificate Authority in Java TrustStore, esegui il comando seguente.
```
java -jar redshift-keytool.jar -s
```
- Per importare il pacchetto Amazon Redshift Certificate Authority in modalità privata TrustStore, esegui il seguente comando:
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione di una connessione ODBC

Passaggio ai certificati ACM per connessioni SSL