Conexão SSL com a instância AWS RDS Postgresql do cliente Windows

Se você estiver usando o PGAdmin, ao criar uma nova conexão, haverá uma guia chamada SSL[1]. Lá você pode inserir seu arquivo pem.

Se você estiver usando psql, coloque seu pemarquivo no %APPDATA%\postgresql\diretório. Veja mais detalhes na documentação[2].

Espero que ajude.

Referências:

1. https://www.pgadmin.org/docs/dev/connect.html?highlight=ssl
2. https://www.postgresql.org/docs/9.2/static/libpq-ssl.html

Eu encontrei a resposta! Acontece que a conexão foi criptografada o tempo todo, só não percebi. Rapaz, isso me fez sentir estúpida. Acabei baixando o Wireshark e cheirando meus pacotes só para ter certeza.

Observe que isso se aplica ao modo ssl "require", mas para usar o modo ssl "verify-full" você ainda precisa de um certificado raiz. Neste caso, apenas peguei rds-combined-ca-bundle.peme renomeei de .pem para .crt. Isso me permitiu apontar para o arquivo na guia SSL da janela de propriedades da conexão no PGAdmin.

Fazendo isso, consegui especificar o modo ssl "verify-full" e conectar-me à minha instância.

Editar:

Por padrão, RDS Postgres aceitará conexões não-SSL. Acontece que o PGAdmin estava iniciando uma conexão SSL por padrão.

... se você não fornecer o modo ssl, o postgres se conecta com o modo padrão como 'preferir' (consulte a documentação mencionada acima), segundo o qual, ele preferirá a conexão ssl, mas se não estiver disponível, ele se conectará com conexão não-ssl também. Fonte

Para garantir que você esteja sempre usando SSL, você pode definir o parâmetro rds.force_sslcomo 1 (ligado). Mais detalhes.

No pgAdmin:

Basta carregar o pemarquivo como o "Certificado raiz", no meu caso, é um certificado raiz chamado ca.pem. Trabalhou para mim.

(Não tenho certeza sobre a compactação SSL, acabei de clicar nela também, deve funcionar sem ela.)