AWS SCT で Amazon RDS と Amazon Aurora 接続を暗号化 - AWS Schema Conversion Tool

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SCT で Amazon RDS と Amazon Aurora 接続を暗号化

アプリケーションから Amazon RDS または Amazon Aurora データベースへの暗号化された接続を開くには、AWS ルート証明書を何らかの形式のキーストレージにインポートする必要があります。ルート証明書は、Amazon RDS ユーザーガイド内の SSL/TLS を使用した DB インスタンスへの接続の暗号化にある AWS からダウンロードできます。

すべての AWS リージョンで使用できるルート証明書と、旧新両方のルート証明書が含まれる証明書バンドルの 2 つのオプションを使用できます。

使用する方法に応じて、次の 2 つの手順のうちのいずれかのステップに従います。

証明書を Windows システムストレージにインポートする

  1. 次のいずれかのソースから証明書をダウンロードします。

  2. Windows の検索ウィンドウに、Manage computer certificates と入力します。コンピュータに変更を加えることをアプリケーションに許可するかどうかを尋ねるメッセージが表示されたら、はいを選択します。

  3. 証明書のウィンドウが開いたら、必要に応じて [Certificated - Local Computer] (認定済み-ローカルコンピュータ) を展開し、証明書のリストが表示されるようにします。[Trusted Root Certification Authorities] (信頼されたルート証明機関) のコンテキスト (右クリック) メニューを開き、[All Tasks] (すべてのタスク)、[Import] (インポート) の順に選択します。

  4. [Next] (次へ)、次に [Browse] (参照) を選択し、ステップ 1 でダウンロードした *.pem ファイルを見つけます。[Open] (開く) を選択して証明書ファイルを選択したら、[Next] (次へ) を選択し、[Finish] (終了) を選択します。

    注記

    ファイルを検索するには、参照ウィンドウで、ファイルタイプを [All files (*.*)] (すべてのファイル (*.*)) に変更する必要があります。これは、.pem は証明書の標準の拡張子ではないためです。

  5. Microsoft マネジメントコンソールで、[Certificates] (証明書) を展開します。次に [Trusted Root Certification Authorities] (信頼されたルート証明機関) を展開して [Certificates] (証明書) を選択し、証明書を検索して存在することを確認します。

  6. コンピュータを再起動します。

証明書を Java キーストアにインポートする

  1. 次のいずれかのソースから証明書をダウンロードします。

  2. 証明書バンドルをダウンロードした場合は、個々の証明書ファイルに分割します。分割するには、-----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE----- で終わる各証明書ブロックを個別の *.pem ファイルに配置します。各証明書に対して個別の *.pem ファイルを作成した後、証明書バンドルファイルは安全に削除できます。

  3. 証明書をダウンロードしたディレクトリにあるコマンドウィンドウまたはターミナルセッションを開き、前のステップで作成した各 *.pem ファイルに対して次のコマンドを実行します。

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    次の例では、rds-ca-2019-root.pem ファイルをダウンロード済みであることを前提としています。

    keytool -importcert -file rds-ca-2019-root.pem -alias rds-ca-2019-root.pem -keystore trust-2019.ks Enter keystore password: Re-enter new password: Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US Serial number: c73467369250ae75 Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024 Certificate fingerprints: SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96 SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048-bit RSA key Version: 3 Extensions: #1: ObjectId: 2.5.29.35 Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: 73 5F 60 D8 BC CB 03 98 F4 2B 17 34 2E 36 5A A6 s_`......+.4.6Z. 0010: 60 FF BC 1F `... ] ] #2: ObjectId: 2.5.29.19 Criticality=true BasicConstraints:[ CA:true PathLen:2147483647 ] #3: ObjectId: 2.5.29.15 Criticality=true KeyUsage [ Key_CertSign Crl_Sign ] #4: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: 73 5F 60 D8 BC CB 03 98 F4 2B 17 34 2E 36 5A A6 s_`......+.4.6Z. 0010: 60 FF BC 1F `... ] ] Trust this certificate? [no]: yes Certificate was added to keystore
  4. キーストアを AWS SCT の信頼ストアとして追加します。追加するには、メインメニューから [Settings, General Settings] (設定、全般設定)、[Security] (セキュリティ)、Trust Store] (信頼ストア) の順に選択し、[Select existing trust store] (既存の信頼ストアを選択) を選択します。

    信頼ストアを追加した後は、データベースへの AWS SCT 接続を作成するときに SSL 対応接続を構成するために使用することができます。AWS SCT [Connect to database] (データベースに接続) ダイアログで、[Use SSL] (SSL の使用) をクリックし、以前に入力した信頼ストアを選択します。