Usar certificados SSL/TLS para criptografar conexões de rede

Todas as conexões que o Serviço de migração de dados faz com o banco de dados de origem podem ser configuradas para usar a criptografia Secure Socket Layer/Transport Security Layer (SSL/TLS). Esta página apresenta uma visão geral das variantes de criptografia SSL/TLS disponíveis e as etapas necessárias para usá-las na migração.

O SSL/TLS é recomendado principalmente para conexões criadas em redes públicas em que você precisa expor um endereço IP e uma porta públicos para o banco de dados. Independentemente do método de conectividade de rede usado, seu cenário pode exigir o uso de criptografia extra.

As conexões do banco de dados de destino são sempre criptografadas pelo Database Migration Service. Não é necessário configurar outros certificados para essas conexões.

Para entender como o Database Migration Service usa a criptografia SSL/TLS, é importante lembrar que, em relação à conectividade de rede, o Database Migration Service é considerado o cliente, e seu banco de dados (de origem ou de destino) é o servidor. O Database Migration Service é compatível com as seguintes variantes de criptografia:

Nenhum
Quando o Database Migration Service estabelece uma conexão com seu banco de dados, ele não envia nenhuma string de configuração SSL. Ele não apresenta certificados de cliente ao servidor e também não verifica certificados do servidor.
TLS

Quando o Database Migration Service se conecta ao seu banco de dados, ele declara que a conexão foi estabelecida por um canal seguro. O Database Migration Service não apresenta um certificado de cliente para o servidor, mas valida a autoridade certificadora (AC) do servidor para garantir que ele esteja se conectando ao host correto. Isso evita ataques de pessoa no meio.

Para usar a autenticação TLS, você precisa fornecer o certificado x509 codificado por PEM da autoridade de certificação (AC) que assinou o certificado do servidor de banco de dados.

A seguir