Como criptografar conexões do Amazon RDS e do Amazon Aurora na AWS SCT - AWS Schema Conversion Tool

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criptografar conexões do Amazon RDS e do Amazon Aurora na AWS SCT

Para abrir conexões criptografadas com bancos de dados do Amazon RDS ou do Amazon Aurora a partir de um aplicativo, você precisa importar certificados raiz da AWS em alguma forma de armazenamento de chaves. Você pode baixar os certificados raiz da AWS em Como usar SSL/TLS para criptografar uma conexão com uma instância de banco de dados no Guia do usuário do Amazon RDS.

Duas opções estão disponíveis: um certificado raiz que funciona para todas as regiões da AWS e um pacote de certificados que contém o certificado raiz antigo e o novo.

Dependendo do que você deseja usar, siga as etapas em um dos dois procedimentos a seguir.

Para importar o certificado ou certificados para o armazenamento do sistema Windows

  1. Baixe um certificado ou certificados de uma das seguintes origens:

    Para obter informações sobre como baixar certificados, consulte Como usar SSL/TLS para criptografar uma conexão com uma instância de banco de dados no Guia do usuário do Amazon RDS.

  2. Na janela de pesquisa do Windows, digite Manage computer certificates. Quando solicitado se você deseja permitir que o aplicativo faça alterações em seu computador, escolha Sim.

  3. Quando a janela de certificados abrir, se necessário, expanda Certificados - Computador local para ver a lista de certificados. Abra o menu contextual (clique com o botão direito) para Autoridades de certificação raiz confiáveis, escolha Todas as tarefas, e selecione Importar.

  4. Escolha Avançar, depois Procurar e encontre o arquivo *.pem que você baixou na etapa 1. Escolha Abrir para selecionar o arquivo do certificado, escolha Avançar e depois escolha Concluir.

    nota

    Para encontrar o arquivo, altere o tipo de arquivo na janela de busca para Todos os arquivos (*.*), pois .pem não é uma extensão de certificado padrão.

  5. No Microsoft Management Console, expanda Certificados. Em seguida, expanda Autoridades de certificação raiz confiáveis, escolha Certificados e encontre o certificado para confirmar que ele existe. O nome do certificado começa com Amazon RDS.

  6. Reinicie o computador.

Para importar o certificado ou certificados para o repositório de chaves Java

  1. Baixe o certificado ou certificados de uma das seguintes origens:

    Para obter informações sobre como baixar certificados, consulte Como usar SSL/TLS para criptografar uma conexão com uma instância de banco de dados no Guia do usuário do Amazon RDS.

  2. Se você baixou o pacote de certificados, divida-o em arquivos de certificados individuais. Para fazer isso, coloque cada bloco de certificados, começando com -----BEGIN CERTIFICATE----- e terminando com -----END CERTIFICATE----- em arquivos *.pem separados. Depois de criar um arquivo *.pem separado para cada certificado, você pode remover com segurança o arquivo do pacote de certificados.

  3. Abra uma janela de comando ou sessão de terminal no diretório em que você baixou o certificado e execute o comando a seguir para cada arquivo *.pem criado na etapa anterior.

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    O exemplo a seguir pressupõe que você baixou o arquivo eu-west-1-bundle.pem.

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. Adicione o repositório de chaves como um armazenamento confiável em AWS SCT. Para fazer isso, no menu principal, escolha Configurações, Configurações globais, Segurança, Armazenamento confiável e, em seguida, escolha Selecionar armazenamento confiável existente.

    Depois de adicionar o armazenamento confiável, você pode usá-lo para configurar uma conexão habilitada para SSL ao criar uma conexão de AWS SCT com o banco de dados. Na caixa de diálogo Conectar ao banco de dados da AWS SCT, escolha Usar SSL e escolha o armazenamento confiável inserido anteriormente.