Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

使用 SSL 加密与数据库实例的连接

您可使用应用程序中的 SSL 来加密与运行 MySQL、MariaDB、Amazon Aurora、SQL Server、Oracle 或 PostgreSQL 的数据库实例的连接。每个数据库引擎都有自己的用于实施 SSL 的过程。要了解如何为您的数据库实例实施 SSL,请使用以下对应于您的数据库引擎的链接:

可从 https://s3.amazonaws.com/rds-downloads/rds-ca-2015-root.pem 下载适用于所有区域的根证书。根证书是受信任的根实体,并且应适用于大多数情况,但可能在您的应用程序不接受证书链时失败。如果您的应用程序未接受证书链,请从于本节后文中找到的中间证书列表中下载区域特定的证书。

可从 https://s3.amazonaws.com/rds-downloads/rds-cn-north-1-ca-certificate.pem 下载适用于 BJS 区域的根证书。

可在 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem 下载同时包含新旧根证书的证书捆绑包。

如果应用程序位于 Microsoft Windows 平台上并需要 PKCS7 文件,您可以从 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b 下载同时包含新旧证书的 PKCS7 证书捆绑包。

中间证书

您可能需要使用中间证书来连接到区域。例如,您必须使用中间证书通过 SSL 连接到 AWS GovCloud(美国) 区域。如果您需要特定区域的中间证书,请从以下列表中下载该证书:

亚太地区(孟买)

亚太区域(东京)

亚太区域(首尔)

亚太区域(新加坡)

亚太区域(悉尼)

欧洲(法兰克福)

欧洲(爱尔兰)

南美洲(圣保罗)

美国东部(弗吉尼亚北部)

美国东部(俄亥俄州)

美国西部(加利福尼亚北部)

美国西部(俄勒冈)

中国(北京)

AWS GovCloud (US) (CA-2012;对于 CA-2017,请参见下文)

GovCloud (US) SSL 证书 2017

为保持连接,您需要在 2017 年 8 月 15 日 20:00 UTC 之前,更新您的客户端或应用程序连接到 RDS 所使用的 CA-2012 SSL 证书。请遵循以下步骤:

  1. 下载新的 AWS GovCloud 中间 SSL 证书捆绑包

  2. 按照下载页面上的步骤执行操作,使用上一步骤中下载的新证书更新数据库客户端或应用程序。此操作特定于客户端或应用程序的配置。

在 AWS 管理控制台 (或 ModifyDBInstance API) 上为 RDS 实例使用修改操作将证书颁发机构 (CA) 从 rds-ca-2012 更改为 rds-ca-2017,然后单击 Apply Immediately。此操作将更新 RDS 实例上的 SSL 证书并初始化重启操作以使新证书生效。此重启操作通常可在两分钟内完成。在某些情况下 (如数据库具有许多表时),重新启动可能需要更长的时间。有关更多信息,请参阅 针对 Amazon RDS 的最佳实践

本页内容: