Konfiguration von SSL/TLS Zertifikaten für Aurora DSQL-Verbindungen - Amazon Aurora DSQL
Überprüfen von Amazon Root CA 1 Zertifikate installierenVerbinden mit SSL/TLSRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von SSL/TLS Zertifikaten für Aurora DSQL-Verbindungen

Aurora DSQL verlangt von allen Verbindungen eine Transport Layer Security (TLS)-Verschlüsselung. Ihr Client-System muss der Amazon Root Certificate Authority (Amazon Root CA 1) vertrauen, um sichere Verbindungen herzustellen. Dieses Zertifikat ist bei vielen Betriebssystemen vorinstalliert. Dieser Abschnitt enthält Anleitungen zur Überprüfung des vorinstallierten Amazon Root CA 1-Zertifikats bei verschiedenen Betriebssystemen und führt Sie durch den Prozess der manuellen Installation des Zertifikats, falls es noch nicht vorhanden ist.

Wir empfehlen die Verwendung von PostgreSQL Version 17.

Wichtig

Für Produktionsumgebungen empfehlen wir die Verwendung des verify-full-SSL-Modus, um ein Höchstmaß an Verbindungssicherheit zu gewährleisten. In diesem Modus wird überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist und ob der Server-Hostname mit dem Zertifikat übereinstimmt.

Überprüfen vorinstallierter Zertifikate

Bei den meisten Betriebssystemen ist Amazon Root CA 1 bereits vorinstalliert. Um dies zu überprüfen, führen Sie die folgenden Schritte aus.

Linux () RedHat/CentOS/Fedora

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

trust list | grep "Amazon Root CA 1"

Wenn das Zertifikat installiert ist, wird die folgende Ausgabe angezeigt:

label: Amazon Root CA 1

macOS

  1. Öffnen Sie die Spotlight-Suche (Befehlstaste + Leerzeichen)

  2. Suchen Sie nach Keychain Access

  3. Wählen Sie unter Systemschlüsselketten die Option Systemstammverzeichnis aus

  4. Suchen Sie in der Zertifikatsliste nach Amazon Root CA 1

Windows

Anmerkung

Aufgrund eines bekannten Problems mit dem PSQL-Windows-Client kann bei der Verwendung von Systemstammzertifikaten (sslrootcert=system) der folgende Fehler zurückgegeben werden: SSL error: unregistered scheme. Alternativ können Sie den Schritten unter Eine Verbindung von Windows aus herstellen folgen, um mithilfe von SSL eine Verbindung zu Ihrem Cluster herzustellen.

Wenn Amazon Root CA 1 nicht in Ihrem Betriebssystem installiert ist, gehen Sie wie im Folgenden beschrieben vor.

Installieren von Zertifikaten

Wenn das Amazon Root CA 1-Zertifikat nicht auf Ihrem Betriebssystem vorinstalliert ist, müssen Sie es manuell installieren, um sichere Verbindungen zu Ihrem Aurora DSQL-Cluster herzustellen.

Installieren eines Linux-Zertifikats

Gehen Sie wie folgt vor, um das Amazon Root CA-Zertifikat auf Linux-Systemen zu installieren.

  1. Laden Sie das Stammzertifikat herunter:

    wget https://www.amazontrust.com/repository/AmazonRootCA1.pem

  2. Kopieren Sie das Zertifikat in den Vertrauensspeicher ein.

    sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/

  3. Aktualisieren Sie den CA Trust Store:

    sudo update-ca-trust

  4. Überprüfen der Installation:

    trust list | grep "Amazon Root CA 1"

Installieren des macOS-Zertifikats

Diese Schritte zur Installation des Zertifikats sind optional. Die Schritte unter Installieren eines Linux-Zertifikats funktionieren auch für macOS.

  1. Das Stammzertifikat herunterladen:

    wget https://www.amazontrust.com/repository/AmazonRootCA1.pem

  2. Fügen Sie das Zertifikat zur Systemschlüsselkette hinzu:

    sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem

  3. Überprüfen der Installation:

    security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain

Verbindung mit SSL/TLS Verifizierung herstellen

Bevor Sie SSL/TLS Zertifikate für sichere Verbindungen zu Ihrem Aurora DSQL-Cluster konfigurieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen.

  • PostgreSQL Version 17 ist installiert

  • AWS CLI mit den entsprechenden Anmeldeinformationen konfiguriert

  • Informationen zum Aurora DSQL-Cluster-Endpunkt

Eine Verbindung von Linux aus herstellen

  1. Generieren und Festlegen des Authentifizierungstokens:

    export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)

  2. Mithilfe von Systemzertifikaten eine Verbindung herstellen (falls vorinstalliert):

    PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint

  3. Alternativ mithilfe eines heruntergeladenen Zertifikats eine Verbindung herstellen:

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint
Anmerkung

Weitere Informationen zu den PGSSLMODE-Einstellungen finden Sie unter sslmode in der Dokumentation zu den Datenbankverbindung-Steuerungsfunktionen von PostgreSQL 17.

Eine Verbindung von macOS aus herstellen

  1. Generieren und Festlegen des Authentifizierungstokens:

    export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)

  2. Mithilfe von Systemzertifikaten eine Verbindung herstellen (falls vorinstalliert):

    PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint

  3. Alternativ laden Sie das Stammzertifikat herunter und speichern es unter root.pem (falls das Zertifikat nicht vorinstalliert ist)

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint

  4. Eine Verbindung mithilfe von psql herstellen:

    PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint

Eine Verbindung von Windows aus herstellen

Verwenden der Eingabeaufforderung

  1. Erstellen des Authentifizierungstokens:

    aws dsql generate-db-connect-admin-auth-token ^
--region=your-cluster-region ^
--expires-in=3600 ^
--hostname=your-cluster-endpoint

  2. Legen Sie die Passwortumgebungsvariable fest:

    set "PGPASSWORD=token-from-above"

  3. Legen Sie die SSL-Konfiguration fest:

    set PGSSLROOTCERT=C:\full\path\to\root.pem
set PGSSLMODE=verify-full

  4. Verbindung mit der Datenbank herstellen:

    "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^
--username admin ^
--host your-cluster-endpoint

Verwenden PowerShell

  1. Generieren und Festlegen des Authentifizierungstokens:

    $env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --expires-in=3600 --hostname=your-cluster-endpoint)

  2. Die SSL-Konfiguration festlegen:

    $env:PGSSLROOTCERT='C:\full\path\to\root.pem'
$env:PGSSLMODE='verify-full'

  3. Verbindung mit der Datenbank herstellen:

     "C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres `
--username admin `
--host your-cluster-endpoint

Weitere Ressourcen