使用 SSL/TLS 加密与数据库集群的连接 - Amazon Aurora

使用 SSL/TLS 加密与数据库集群的连接

您可以使用应用程序中的安全套接字层 (SSL) 或传输层安全 (TLS) 来加密与运行 Aurora MySQL 或 Aurora PostgreSQL 的数据库集群的连接。每个数据库引擎都有自己的用于实施 SSL/TLS 的过程。要了解如何为您的数据库集群实施 SSL/TLS,请使用以下对应于您的数据库引擎的链接:

重要

有关轮换证书的信息,请参阅轮换 SSL/TLS 证书

注意

只能使用 SSL/TLS 连接下载所有证书。

要获取适用于所有 AWS 区域(不包括可选择加入的 AWS 区域)的根证书,请从 https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem 下载证书。

此根证书是受信任的根实体,并且应适用于大多数情况,但可能在您的应用程序不接受证书链的情况下失败。如果您的应用程序不接受证书链,请从可于本节后文中找到的中间证书列表中下载 AWS 区域特定的证书。

要获取包含中间证书和根证书的证书捆绑包,请从 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem 进行下载。

如果您的应用程序在 Microsoft Windows 上并且需要 PKCS7 文件,则可以下载 PKCS7 证书捆绑包。该捆绑包包含位于 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b 的中间证书和根证书。

注意

Amazon RDS Proxy 和 Aurora Serverless 来自 AWS Certificate Manager (ACM) 的证书。如果您正在使用 RDS Proxy,则无需下载 Amazon RDS 证书或更新使用 RDS Proxy 连接的应用程序。有关在 RDS Proxy 中使用 TLS/SSL 的更多信息,请参阅 将 TLS/SSL 与 RDS Proxy 结合使用

如果您是 Aurora Serverless,则不需要下载 Amazon RDS 证书。有关在 Aurora Serverless 中使用 TLS/SSL 的更多信息,请参阅将 TLS/SSL 与 Aurora Serverless 结合使用

适用于可选择加入 AWS 区域的根证书

如果您使用的是可选择加入的 AWS 区域,则可以从下表中下载根证书。

可选择加入 AWS 区域 根证书
非洲(开普敦) rds-ca-af-south-1-2019-root.pem
亚太地区(香港) rds-ca-ap-east-1-2019-root.pem
欧洲(米兰) rds-ca-eu-south-1-2019-root.pem
中东(巴林) rds-ca-me-south-1-2019-root.pem

中间证书

您可能需要使用中间证书来连接到 AWS 区域。例如,您必须使用中间证书通过 SSL/TLS 连接到 AWS GovCloud(美国西部) 区域。如果您需要特定 AWS 区域的中间证书,请从以下表格中下载该证书。

AWS 区域 中间证书
亚太地区(孟买) rds-ca-2019-ap-south-1.pem
亚太区域(东京) rds-ca-2019-ap-northeast-1.pem
亚太区域(首尔) rds-ca-2019-ap-northeast-2.pem
亚太区域 (大阪当地) rds-ca-2019-ap-northeast-3.pem
亚太区域(新加坡) rds-ca-2019-ap-southeast-1.pem
亚太区域(悉尼) rds-ca-2019-ap-southeast-2.pem
加拿大 (中部) rds-ca-2019-ca-central-1.pem
欧洲(法兰克福) rds-ca-2019-eu-central-1.pem
欧洲(爱尔兰) rds-ca-2019-eu-west-1.pem
欧洲(伦敦) rds-ca-2019-eu-west-2.pem
欧洲(巴黎) rds-ca-2019-eu-west-3.pem
欧洲(斯德哥尔摩) rds-ca-2019-eu-north-1.pem
南美洲(圣保罗) rds-ca-2019-sa-east-1.pem
美国东部(弗吉尼亚北部) rds-ca-2019-us-east-1.pem
美国东部(俄亥俄州) rds-ca-2019-us-east-2.pem
美国西部(加利福尼亚北部) rds-ca-2019-us-west-1.pem
美国西部(俄勒冈) rds-ca-2019-us-west-2.pem

AWS GovCloud (US) 证书

您可从以下列表下载 AWS GovCloud (US) 区域的根证书:

AWS GovCloud(美国东部)(Root CA-2017)

AWS GovCloud(美国西部)(Root CA-2017)

您可从以下列表下载 AWS GovCloud (US) 区域的中间证书:

AWS GovCloud(美国东部)(CA-2017)

AWS GovCloud(美国西部)(CA-2017)

AWS GovCloud(美国西部)(CA-2012)

要获取同时包含 AWS GovCloud (US) 区域的中间证书和根证书的证书捆绑包,请从 https://s3.us-gov-west-1.amazonaws.com/rds-downloads/rds-combined-ca-us-gov-bundle.pem 下载。