AWS SCT で Amazon RDS と Amazon Aurora 接続を暗号化 - AWS Schema Conversion Tool

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SCT で Amazon RDS と Amazon Aurora 接続を暗号化

アプリケーションから Amazon RDS または Amazon Aurora データベースへの暗号化された接続を開くには、AWS ルート証明書を何らかの形式のキーストレージにインポートする必要があります。ルート証明書は、Amazon RDS ユーザーガイド内の SSL/TLS を使用した DB インスタンスへの接続の暗号化にある AWS からダウンロードできます。

すべての AWS リージョンで使用できるルート証明書と、旧新両方のルート証明書が含まれる証明書バンドルの 2 つのオプションを使用できます。

使用する方法に応じて、次の 2 つの手順のうちのいずれかのステップに従います。

証明書を Windows システムストレージにインポートする

  1. 次のいずれかのソースから証明書をダウンロードします。

    証明書のダウンロード方法の詳細については、『Amazon RDS ユーザーガイド‭』の「SSL/TLS を使用した DB インスタンス接続の暗号化」をご参照ください。

  2. Windows の検索ウィンドウに、Manage computer certificates と入力します。コンピュータに変更を加えることをアプリケーションに許可するかどうかを尋ねるメッセージが表示されたら、はいを選択します。

  3. 証明書のウィンドウが開いたら、必要に応じて [認定済み-ローカルコンピュータ] を展開し、証明書のリストが表示されるようにします。[Trusted Root Certification Authorities] (信頼されたルート証明機関) のコンテキスト (右クリック) メニューを開き、[All Tasks] (すべてのタスク)、[Import] (インポート) の順に選択します。

  4. [Next] (次へ)、次に [Browse] (参照) を選択し、ステップ 1 でダウンロードした *.pem ファイルを見つけます。[Open] (開く) を選択して証明書ファイルを選択したら、[Next] (次へ) を選択し、[Finish] (終了) を選択します。

    注記

    ファイルを検索するには、参照ウィンドウで、ファイルタイプを [All files (*.*)] (すべてのファイル (*.*)) に変更する必要があります。これは、.pem は証明書の標準の拡張子ではないためです。

  5. Microsoft マネジメントコンソールで、[Certificates] (証明書) を展開します。次に [Trusted Root Certification Authorities] (信頼されたルート証明機関) を展開して [Certificates] (証明書) を選択し、証明書を検索して存在することを確認します。証明書の名前は Amazon RDS で始まります。

  6. コンピュータを再起動します。

証明書を Java キーストアにインポートする

  1. 次のいずれかのソースから証明書をダウンロードします。

    証明書のダウンロード方法の詳細については、『Amazon RDS ユーザーガイド‭』の「SSL/TLS を使用した DB インスタンス接続の暗号化」をご参照ください。

  2. 証明書バンドルをダウンロードした場合は、個々の証明書ファイルに分割します。分割するには、-----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE----- で終わる各証明書ブロックを個別の *.pem ファイルに配置します。各証明書に対して個別の *.pem ファイルを作成した後、証明書バンドルファイルは安全に削除できます。

  3. 証明書をダウンロードしたディレクトリにあるコマンドウィンドウまたはターミナルセッションを開き、前のステップで作成した各 *.pem ファイルに対して次のコマンドを実行します。

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    次の例では、eu-west-1-bundle.pem ファイルをダウンロード済みであることを前提としています。

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. キーストアを AWS SCT の信頼ストアとして追加します。追加するには、メインメニューから [設定]、[全般設定]、[セキュリティ]、[信頼ストア] の順に選択し、[既存の信頼ストアを選択] を選択します。

    信頼ストアを追加した後は、データベースへの AWS SCT 接続を作成するときに SSL 対応接続を構成するために使用することができます。AWS SCT [Connect to database] (データベースに接続) ダイアログで、[Use SSL] (SSL の使用) をクリックし、以前に入力した信頼ストアを選択します。