Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei SSL/TLS certificati per le connessioni Aurora DSQL
Aurora DSQL richiede che tutte le connessioni utilizzino la crittografia Transport Layer Security (TLS). Per stabilire connessioni sicure, il sistema client deve affidarsi all’Amazon Root Certificate Authority (Amazon Root CA 1). Questo certificato è preinstallato su molti sistemi operativi. Questa sezione fornisce istruzioni per verificare il certificato Amazon Root CA 1 preinstallato su vari sistemi operativi e guida l’utente attraverso il processo di installazione manuale del certificato, qualora non fosse già presente.
Si consiglia di utilizzare PostgreSQL versione 17.
Importante
Per gli ambienti di produzione, si consiglia di utilizzare la modalità SSL verify-full per garantire il massimo livello di sicurezza della connessione. Questa modalità verifica che il certificato del server sia firmato da un’autorità di certificazione affidabile e che il nome host del server corrisponda al certificato.
Verifica dei certificati preinstallati
Nella maggior parte dei sistemi operativi, Amazon Root CA 1 è già preinstallato. Per convalidarlo, è possibile completare la procedura seguente.
Linux () RedHat/CentOS/Fedora
Esegui il comando seguente nel terminale:
trust list | grep "Amazon Root CA 1"
Se il certificato è installato, verrà visualizzato il seguente output:
label: Amazon Root CA 1
macOS
-
Apri Spotlight Search (Command + Spazio)
-
Cerca Keychain Access
-
Seleziona System Roots in System Keychains
-
Cerca Amazon Root CA 1 nell’elenco dei certificati
Windows
Nota
A causa di un problema noto con il client psql per Windows, l’utilizzo dei certificati root di sistema (sslrootcert=system) può restituire il seguente errore: SSL error: unregistered scheme. È possibile seguire Connessione da Windows come metodo alternativo per connettersi al cluster tramite SSL.
Se Amazon Root CA 1 non è installato nel sistema operativo, procedi nel seguente modo.
Installazione dei certificati
Se il certificato Amazon Root CA 1 non è preinstallato sul sistema operativo, sarà necessario installarlo manualmente per stabilire connessioni sicure al cluster Aurora DSQL.
Installazione del certificato su Linux
Attieniti alla seguente procedura per installare il certificato Amazon Root CA sui sistemi Linux.
-
Scarica il certificato root:
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem -
Aggiungi il certificato all’archivio di fiducia:
sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/ -
Aggiorna il CA Trust Store:
sudo update-ca-trust -
Verifica l’installazione:
trust list | grep "Amazon Root CA 1"
Installazione del certificato su macOS
Questi passaggi di installazione dei certificati sono facoltativi. Installazione del certificato su Linux funziona anche per macOS.
-
Scarica il certificato root:
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem -
Aggiungi il certificato al keychain di sistema:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem -
Verifica l’installazione:
security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain
Connessione con SSL/TLS verifica
Prima di configurare SSL/TLS i certificati per connessioni sicure al cluster Aurora DSQL, assicurati di avere i seguenti prerequisiti.
-
PostgreSQL versione 17 installata
-
AWS CLI configurato con le credenziali appropriate
-
Informazioni sugli endpoint del cluster Aurora DSQL
Connessione da Linux
-
Genera e imposta il token di autenticazione:
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--hostnameyour-cluster-endpoint) -
Connettiti utilizzando certificati di sistema (se preinstallati):
PGSSLROOTCERT=system \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint -
Oppure, connettiti utilizzando un certificato scaricato:
PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint
Nota
Per maggiori informazioni sulle impostazioni PGSSLMODE, consulta sslmode
Connessione da macOS
-
Genera e imposta il token di autenticazione:
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--hostnameyour-cluster-endpoint) -
Connettiti utilizzando certificati di sistema (se preinstallati):
PGSSLROOTCERT=system \ PGSSLMODE=verify-full \ psql --dbname postgres \ --username admin \ --hostyour-cluster-endpoint -
Oppure, scarica il certificato root e salvalo con il nome
root.pem(se il certificato non è preinstallato)PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql —dbname postgres \ --username admin \ --host your_cluster_endpoint -
Connessione tramite psql:
PGSSLROOTCERT=/full/path/to/root.pem \ PGSSLMODE=verify-full \ psql —dbname postgres \ --username admin \ --host your_cluster_endpoint
Connessione da Windows
Utilizzo del prompt dei comandi
-
Genera il token di autenticazione:
aws dsql generate-db-connect-admin-auth-token ^ --region=your-cluster-region^ --expires-in=3600 ^ --hostname=your-cluster-endpoint -
Imposta la variabile di ambiente della password:
set "PGPASSWORD=token-from-above" -
Imposta la configurazione SSL:
set PGSSLROOTCERT=C:\full\path\to\root.pem set PGSSLMODE=verify-full -
Connettiti al database:
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^ --username admin ^ --hostyour-cluster-endpoint
Usando PowerShell
-
Genera e imposta il token di autenticazione:
$env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region--expires-in=3600 --hostname=your-cluster-endpoint) -
Imposta la configurazione SSL:
$env:PGSSLROOTCERT='C:\full\path\to\root.pem' $env:PGSSLMODE='verify-full' -
Connettiti al database:
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ` --username admin ` --hostyour-cluster-endpoint
Risorse aggiuntive
