- Amazon Relational Database Service
Autorità di certificazioneScarica i pacchetti di certificati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi utilizzare Secure Socket Layer (SSL) o Transport Layer Security (TLS) dalla tua applicazione per crittografare una connessione a un database che esegue Db2, MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL.

Facoltativamente, la connessione SSL/TLS può eseguire la verifica dell'identità del server convalidando il certificato del server installato nel database. Per richiedere la verifica dell'identità del server, esegui questa procedura generale:

  1. Scegli l'autorità di certificazione (CA) che firma il certificato del server di database per il database. Per ulteriori informazioni sulle autorità di certificazione, consulta Autorità di certificazione.

  2. Scarica un bundle di certificati da utilizzare quando ti connetti al database. Pacchetti di certificati di Regione AWS.

    Nota

    Tutti i certificati sono disponibili solo per il download tramite connessioni SSL/TLS.

  3. Connettiti al database utilizzando il processo di implementazione del tuo motore DB SSL/TLS connections. Each DB engine has its own process for implementing SSL/TLS. To learn how to implement SSL/TLS per il tuo database, segui il link che corrisponde al tuo motore DB:

Autorità di certificazione

L'autorità di certificazione (CA) è il certificato che identifica la CA root della catena di certificati. La CA firma il certificato del server di database, che è il certificato del server installato su ogni istanza database. Il certificato del server di database identifica l'istanza database come server attendibile.

Panoramica dell'autorità di certificazione

Amazon RDS fornisce quanto segue CAs per firmare il certificato del server DB per un database.

Autorità di certificazione (CA) Descrizione Common name (CN) (Nome comune)

rds-ca-rsa2048-g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma nella maggior parte dei casi. SHA256 Regioni AWS

Nel AWS GovCloud (US) Regions, questa CA utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma. SHA384

supporta la rotazione automatica dei certificati del server.

 Amazon RDS region-identifier RSA2 048 G1

rds-ca-rsa4096-g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.

Amazon RDS region-identifier RSA4 096 G1

rds-ca-ecc384-g1

Utilizza un'autorità di certificazione con algoritmo a chiave privata ECC 384 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.

Amazon RDS G1 region-identifier ECC384
Nota

Se utilizzi il AWS CLI, puoi vedere le validità delle autorità di certificazione sopra elencate utilizzando describe-certificates.

Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando si utilizza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, RDS gestisce il certificato del server DB sul database. RDS esegue automaticamente la rotazione del certificato del server di database prima della scadenza.

Impostazione della CA per il database

Puoi impostare la CA per un database quando esegui le seguenti attività:

Nota

La CA predefinita è impostata su 2048-g1. rds-ca-rsa È possibile sovrascrivere la CA predefinita per il proprio Account AWS utilizzando il comando modify-certificates.

Le opzioni disponibili CAs dipendono dal motore DB e dalla versione del motore DB. Quando si utilizza il AWS Management Console, è possibile scegliere la CA utilizzando l'impostazione dell'autorità di certificazione, come mostrato nell'immagine seguente.

Opzione Certificate authority (Autorità di certificazione)

La console mostra solo CAs le versioni disponibili per il motore DB e la versione del motore DB. Se si utilizza il AWS CLI, è possibile impostare la CA per un'istanza DB utilizzando il modify-db-instancecomando create-db-instanceor. È possibile impostare la CA per un cluster DB Multi-AZ utilizzando il modify-db-clustercomando create-db-clusteror.

Se utilizzi il AWS CLI, puoi vedere quello disponibile CAs per il tuo account utilizzando il comando describe-certificates. Questo comando mostra nell'output anche la data di scadenza per ogni CA in ValidTill. Puoi trovare CAs quelli disponibili per uno specifico motore DB e una versione del motore DB utilizzando il comando. describe-db-engine-versions

L'esempio seguente mostra la CAs versione del motore DB RDS per PostgreSQL disponibile per la versione predefinita.

aws rds describe-db-engine-versions --default-only --engine postgres

L'output è simile a quello riportato di seguito. I disponibili sono elencati in. CAs SupportedCACertificateIdentifiers L'output mostra anche se la versione del motore di database supporta la rotazione del certificato senza riavvio in SupportsCertificateRotationWithoutRestart.

{
    "DBEngineVersions": [
        {
            "Engine": "postgres",
            "MajorEngineVersion": "13",
            "EngineVersion": "13.4",
            "DBParameterGroupFamily": "postgres13",
            "DBEngineDescription": "PostgreSQL",
            "DBEngineVersionDescription": "PostgreSQL 13.4-R1",
            "ValidUpgradeTarget": [],
            "SupportsLogExportsToCloudwatchLogs": false,
            "SupportsReadReplica": true,
            "SupportedFeatureNames": [
                "Lambda"
            ],
            "Status": "available",
            "SupportsParallelQuery": false,
            "SupportsGlobalDatabases": false,
            "SupportsBabelfish": false,
            "SupportsCertificateRotationWithoutRestart": true,
            "SupportedCACertificateIdentifiers": [
                "rds-ca-rsa2048-g1",
                "rds-ca-ecc384-g1",
                "rds-ca-rsa4096-g1"
            ]
        }
    ]
}

Validità dei certificati del server di database

La validità del certificato del server di database dipende dal motore di database e dalla versione del motore di database. Se la versione del motore di database supporta la rotazione del certificato senza riavvio, la validità del certificato del server di database è di 1 anno. In caso contrario, la validità è di 3 anni.

Per ulteriori informazioni sulla rotazione dei certificati del server di database, consulta Rotazione automatica dei certificati del server.

Visualizzazione della CA per l'istanza DB

È possibile visualizzare i dettagli sulla CA di un database visualizzando la scheda Connettività e sicurezza nella console, come nell'immagine seguente.

Dettagli dell'autorità di certificazione

Se si utilizza il AWS CLI, è possibile visualizzare i dettagli sulla CA per un'istanza DB utilizzando il describe-db-instancescomando. È possibile visualizzare i dettagli sulla CA per un cluster DB Multi-AZ utilizzando il describe-db-clusterscomando.

Quando ti connetti al database con SSL o TLS, l'istanza del database richiede un certificato di attendibilità di Amazon RDS. Seleziona il link appropriato nella tabella seguente per scaricare il pacchetto corrispondente al Regione AWS luogo in cui ospiti il database.

Pacchetti di certificati di Regione AWS

I pacchetti di certificati per tutte le regioni Regioni AWS e GovCloud (Stati Uniti) contengono i seguenti certificati CA root:

  • rds-ca-rsa2048-g1

  • rds-ca-rsa4096-g1

  • rds-ca-ecc384-g1

I rds-ca-ecc384-g1 certificati rds-ca-rsa4096-g1 and non sono disponibili nelle seguenti regioni:

  • Asia Pacifico (Mumbai)

  • Asia Pacifico (Melbourne)

  • Canada occidentale (Calgary)

  • Europa (Zurigo)

  • Europa (Spagna)

  • Israele (Tel Aviv)

L'application trust store deve solo registrare il certificato CA principale.

Nota

Proxy utilizza i certificati di AWS Certificate Manager (ACM). Se utilizzi RDS Proxy, non è necessario scaricare certificati Amazon RDS o aggiornare applicazioni che utilizzano connessioni proxy RDS. Per ulteriori informazioni, consulta Utilizzo diTLS/SSLcon Proxy RDS.

Per scaricare un pacchetto di certificati per un Regione AWS, seleziona il link Regione AWS che ospita il database nella tabella seguente.

AWS Region Bundle di certificati (PEM) Pacchetto di certificati () PKCS7
Qualsiasi pubblicità Regione AWS global-bundle.pem global-bundle.p7b
Stati Uniti orientali (Virginia settentrionale) us-east-1-bundle.pem us-east-1-bundle.p7b
US East (Ohio) us-east-2-bundle.pem us-east-2-bundle.p7b
US West (N. California) us-west-1-bundle.pem us-west-1-bundle.p7b
US West (Oregon) us-west-2-bundle.pem us-west-2-bundle.p7b
Africa (Cape Town) af-south-1-bundle.pem af-sud-1-bundle.p7b
Asia Pacific (Hong Kong) ap-east-1-bundle.pem ap-east-1-bundle.p7b
Asia Pacific (Hyderabad) ap-south-2-bundle.pem ap-south-2-bundle.p7b
Asia Pacifico (Giacarta) ap-southeast-3-bundle.pem ap-southeast-3-bundle.p7b
Asia Pacifico (Malesia) ap-southeast-5-bundle.pem ap-southeast-5-bundle.p7b
Asia Pacifico (Melbourne) ap-southeast-4-bundle.pem ap-southeast-4-bundle.p7b
Asia Pacifico (Mumbai) ap-south-1-bundle.pem ap-south-1-bundle.p7b
Asia Pacific (Osaka) ap-northeast-3-bundle.pem ap-northeast-3-bundle.p7b
Asia Pacifico (Tailandia) ap-southeast-7-bundle.pem ap-southeast-7-bundle.p7b
Asia Pacifico (Tokyo) ap-northeast-1-bundle.pem ap-northeast-1-bundle.p7b
Asia Pacific (Seoul) ap-northeast-2-bundle.pem ap-northeast-2-bundle.p7b
Asia Pacific (Singapore) ap-southeast-1-bundle.pem ap-southeast-1-bundle.p7b
Asia Pacific (Sydney) ap-southeast-2-bundle.pem ap-southeast-2-bundle.p7b
Canada (Central) ca-central-1-bundle.pem ca-central-1-bundle.p7b
Canada occidentale (Calgary) ca-west-1-bundle.pem ca-west-1-bundle.p7b
Europa (Francoforte) eu-central-1-bundle.pem eu-central-1-bundle.p7b
Europe (Ireland) eu-west-1-bundle.pem eu-west-1-bundle.p7b
Europe (London) eu-west-2-bundle.pem eu-west-2-bundle.p7b
Europe (Milan) eu-south-1-bundle.pem eu-sud-1-bundle.p7b
Europe (Paris) eu-west-3-bundle.pem eu-west-3-bundle.p7b
Europa (Spagna) eu-south-2-bundle.pem eu-south-2-bundle.p7b
Europa (Stoccolma) eu-nord-1-bundle.pem eu-nord-1-bundle.p7b
Europa (Zurigo) eu-central-2-bundle.pem eu-central-2-bundle.p7b
Israele (Tel Aviv) il-central-1-bundle.pem il-central-1-bundle.p7b
Messico (centrale) mx-central-1-bundle.pem mx-central-1-bundle.p7b
Middle East (Bahrain) me-sud-1-bundle.pem me-sud-1-bundle.p7b
Medio Oriente (Emirati Arabi Uniti) me-central-1-bundle.pem me-central-1-bundle.p7b
Sud America (San Paolo) sa-east-1-bundle.pem sa-east-1-bundle.p7b
Qualsiasi s AWS GovCloud (US) Region global-bundle.pem global-bundle.p7b
AWS GovCloud (Stati Uniti orientali) us-gov-east-1 bundle.pem us-gov-east-1 pacchetto.p7b
AWS GovCloud (Stati Uniti occidentali) us-gov-west-1 bundle.pem us-gov-west-1 pacchetto.p7b

Visualizzazione del contenuto del certificato CA

Per verificare il contenuto del bundle di certificati CA, utilizza il comando seguente: 

keytool -printcert -v -file global-bundle.pem