Usar o SSL/TLS para criptografar uma conexão com uma instância de banco de dados - Amazon Relational Database Service

Usar o SSL/TLS para criptografar uma conexão com uma instância de banco de dados

É possível usar o Security Socket Layer (SSL) ou o Transport Layer Security (TLS) no aplicativo para criptografar uma conexão com uma instância de banco de dados que executa MySQL, MariaDB, SQL Server, Oracle ou PostgreSQL. Cada mecanismo de banco de dados tem seu próprio processo de implementação do SSL/TLS. Para saber como implementar o SSL/TLS para a instância de banco de dados, use o seguinte link correspondente ao seu mecanismo de banco de dados:

Importante

Para obter informações sobre como fazer a rotação do certificado, consulte Alternar o certificado SSL/TLS.

nota

Todos os certificados somente estão disponíveis para download usando conexões SSL/TLS.

Para obter um certificado raiz que funcione para todas as regiões da AWS, excluindo regiões de inclusão da AWS, faça download dele em https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem.

Esse certificado raiz é uma entidade raiz confiável e deve funcionar na maioria dos casos, mas poderá falhar se o aplicativo não aceitar cadeias de certificados. Se o seu aplicativo não aceitar cadeias de certificados, faça download do certificado específico da região da AWS na lista de certificados intermediários mais adiante nesta seção.

Para obter um pacote de certificados que contenha certificados intermediários e raiz, faça download em https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem.

Se o seu aplicativo estiver no Microsoft Windows e exigir um arquivo PKCS7, você poderá fazer download do pacote de certificados PKCS7. Esse pacote contém os certificados intermediários e raiz em https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b.

nota

O usa certificados do AWS Certificate Manager (ACM). Se você estiver usando o RDS Proxy, não será necessário fazer download dos certificados do Amazon RDS ou atualizar os aplicativos que usam conexões RDS Proxy. Para obter mais informações sobre como usar o TLS/SSL com o RDS Proxy, consulte Usar TLS/SSL com o RDS Proxy.

Certificados raiz para regiões de inclusão da AWS

Se estiver usando uma região de inclusão da AWS, você poderá fazer download do certificado raiz da tabela a seguir.

Região de inclusão da AWS Certificado raiz
África (Cidade do Cabo) rds-ca-af-south-1-2019-root.pem
Ásia-Pacífico (Hong Kong) rds-ca-ap-east-1-2019-root.pem
Europa (Milão) rds-ca-eu-south-1-2019-root.pem
Oriente Médio (Bahrein) rds-ca-me-south-1-2019-root.pem

Certificados intermediários

Talvez seja necessário usar um certificado intermediário para se conectar à sua região da AWS. Por exemplo, é necessário usar um certificado intermediário para se conectar à região AWS GovCloud (Oeste dos EUA) usando o SSL/TLS. Se precisar de um certificado intermediário para determinada região da AWS, faça download do certificado na tabela a seguir.

Região da AWS Certificados intermediários
Ásia Pacífico (Mumbai) rds-ca-2019-ap-south-1.pem
Ásia-Pacífico (Tóquio) rds-ca-2019-ap-northeast-1.pem
Ásia-Pacífico (Seul) rds-ca-2019-ap-northeast-2.pem
Ásia-Pacífico (Osaka – Local) rds-ca-2019-ap-northeast-3.pem
Ásia-Pacífico (Cingapura) rds-ca-2019-ap-southeast-1.pem
Ásia-Pacífico (Sydney) rds-ca-2019-ap-southeast-2.pem
Canadá (Central) rds-ca-2019-ca-central-1.pem
Europa (Frankfurt) rds-ca-2019-eu-central-1.pem
Europa (Irlanda) rds-ca-2019-eu-west-1.pem
Europa (Londres) rds-ca-2019-eu-west-2.pem
Europa (Paris) rds-ca-2019-eu-west-3.pem
Europa (Estocolmo) rds-ca-2019-eu-north-1.pem
América do Sul (São Paulo) rds-ca-2019-sa-east-1.pem
Leste dos EUA (Norte da Virgínia) rds-ca-2019-us-east-1.pem
Leste dos EUA (Ohio) rds-ca-2019-us-east-2.pem
Oeste dos EUA (Norte da Califórnia) rds-ca-2019-us-west-1.pem
Oeste dos EUA (Oregon) rds-ca-2019-us-west-2.pem

Certificados de AWS GovCloud (US)

É possível fazer download do certificado raiz para a região AWS GovCloud (EUA) na seguinte lista:

AWS GovCloud (EUA-Leste) (CA-2017 raiz)

AWS GovCloud (EUA-Oeste) (CA-2017 raiz)

É possível fazer download do certificado intermediário para a região AWS GovCloud (EUA) na seguinte lista:

AWS GovCloud (EUA-Leste) (CA-2017)

AWS GovCloud (EUA-Oeste) (CA-2017)

AWS GovCloud (EUA-Oeste) (CA-2012)

Para obter um pacote de certificados que contenha os certificados intermediários e raiz das regiões AWS GovCloud (US), faça download em https://s3.us-gov-west-1.amazonaws.com/rds-downloads/rds-combined-ca-us-gov-bundle.pem.