Usar certificados SSL/TLS para criptografar conexões de rede

Todas as conexões que o Database Migration Service faz com o banco de dados de origem podem ser configuradas para usar a criptografia SSL/TLS (Secure Socket Layer/Transport Security Layer). Esta página oferece uma visão geral das variantes de criptografia SSL/TLS disponíveis e das etapas necessárias para usá-las no job de migração.

O SSL/TLS é recomendado principalmente para conexões criadas em redes públicas em que é necessário expor um endereço IP público e uma porta para o banco de dados. Independente do método de conectividade de rede usado, seu cenário pode exigir que você use criptografia extra.

As conexões de banco de dados de destino são sempre criptografadas pelo Database Migration Service. Não é necessário configurar outros certificados para essas conexões.

Para entender como o Database Migration Service usa a criptografia SSL/TLS, é importante lembrar que, em relação à conectividade de rede, o Database Migration Service é considerado o cliente e o banco de dados (de origem ou de destino) é o servidor. O Database Migration Service oferece suporte às seguintes variantes de criptografia:

Nenhum
Quando o Database Migration Service estabelece uma conexão com o banco de dados, ele não envia nenhuma string de configuração SSL. Ele não apresenta certificados de cliente ao servidor e também não verifica nenhum certificado de servidor.
TLS

Quando o Database Migration Service se conecta ao banco de dados, ele declara que a conexão é estabelecida por um canal seguro. O Database Migration Service não apresenta um certificado de cliente ao servidor, mas valida a autoridade certificadora (CA) do servidor para garantir que ele esteja se conectando ao host correto. Isso evita ataques de pessoa no meio.

Para usar a autenticação TLS, você precisa fornecer o certificado x509 codificado por PEM da autoridade certificadora (AC) que assinou o certificado do servidor de banco de dados.

A seguir