在 AWS SCT 中加密 Amazon RDS 和 Amazon Aurora 连接 - AWS Schema Conversion Tool

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS SCT 中加密 Amazon RDS 和 Amazon Aurora 连接

要从应用程序打开与 Amazon RDS 或 Amazon Aurora 数据库的加密连接,您需要将 AWS 根证书导入某种形式的密钥存储中。您可以从 AWS 下载根证书,具体请参阅《Amazon RDS 用户指南》中的使用 SSL/TLS 加密与数据库实例的连接

有两个选项可用:适用于所有 AWS 区域的根证书以及同时包含新旧根证书的证书捆绑包。

根据您要使用的服务,请按照以下两个过程之一的步骤操作。

将一个或多个证书导入 Windows 系统存储器

  1. 从以下来源之一下载一个或多个证书:

    有关下载证书的信息,请参阅《Amazon RDS 用户指南》中的使用 SSL/TLS 加密与数据库实例的连接

  2. 在 Windows 搜索窗口中,输入 Manage computer certificates。当系统提示是否允许应用程序对您的计算机进行更改时,选择

  3. 当证书窗口打开时,如果需要,请展开证书 - 本地计算机,以便看到证书列表。打开受信任的根证书颁发机构的上下文(右键单击)菜单,然后选择所有任务导入

  4. 选择下一步,然后选择浏览,再找到您在步骤 1 中下载的 *.pem 文件。选择打开以选择证书文件,然后选择下一步,再选择完成

    注意

    要找到文件,在浏览窗口中将文件类型更改为所有文件 (*.*),因为 .pem 不是标准证书扩展名。

  5. 在 Microsoft 管理控制台中,展开证书。然后展开受信任的根证书颁发机构,选择证书,找到证书以确认其存在。证书的名称以 Amazon RDS 开头。

  6. 重新启动您的计算机。

将一个或多个证书导入 Java 密钥库

  1. 从以下来源之一下载一个或多个证书:

    有关下载证书的信息,请参阅《Amazon RDS 用户指南》中的使用 SSL/TLS 加密与数据库实例的连接

  2. 如果已下载了证书捆绑包,请将其拆分为单独的证书文件。为此,请将每个证书块(以 -----BEGIN CERTIFICATE----- 开头和以 -----END CERTIFICATE----- 结尾)放入单独的 *.pem 文件中。为每个证书创建单独的 *.pem 文件后,您可以安全地删除证书包捆绑包文件。

  3. 在您下载证书的目录中打开命令窗口或终端会话,然后对上一步中创建的每个 *.pem 文件运行以下命令。

    keytool -importcert -file <filename>.pem -alias <filename>.pem -keystore storename

    以下示例假定您已下载 eu-west-1-bundle.pem 文件。

    keytool -importcert -file eu-west-1-bundle.pem -alias eu-west-1-bundle.pem -keystore trust-2019.ks
Picked up JAVA_TOOL_OPTIONS: -Dlog4j2.formatMsgNoLookups=true
Enter keystore password:
Re-enter new password:
Owner: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Issuer: CN=Amazon RDS Root 2019 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", ST=Washington, L=Seattle, C=US
Serial number: c73467369250ae75
Valid from: Thu Aug 22 19:08:50 CEST 2019 until: Thu Aug 22 19:08:50 CEST 2024
Certificate fingerprints:
         SHA1: D4:0D:DB:29:E3:75:0D:FF:A6:71:C3:14:0B:BF:5F:47:8D:1C:80:96
         SHA256: F2:54:C7:D5:E9:23:B5:B7:51:0C:D7:9E:F7:77:7C:1C:A7:E6:4A:3C:97:22:E4:0D:64:54:78:FC:70:AA:D0:08
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 73 5F 60 D8 BC CB 03 98   F4 2B 17 34 2E 36 5A A6  s_`......+.4.6Z.
0010: 60 FF BC 1F                                        `...
]
]

Trust this certificate? [no]:  yes
Certificate was added to keystore

  4. 将密钥库作为信任存储添加到 AWS SCT 中。为此,请从主菜单中选择设置全局设置安全信任存储,然后选择选择现有信任存储

    添加信任存储后,可以在创建数据库 AWS SCT 连接时使用信任存储配置启用 SSL 的连接。在 AWS SCT 连接到数据库对话框中,选择使用 SSL,然后选择之前输入的信任存储。