Se controlli entrambi i server, non avrai nemmeno bisogno di usare i certificati, basta installare su entrambi i lati la chiave pubblica attendibile per l'altro lato e utilizzarla per stabilire una connessione simile a SSL / TLS.
Tuttavia, probabilmente il modo più semplice per farlo è usare SSL / TLS e certificati, solo perché questo è l'unico modo per configurare una connessione protetta sulla maggior parte dei sistemi. Ma non è necessario acquistare un certificato su questo caso, è consentito utilizzare certificati autofirmati, poiché non si trarrà un vantaggio reale sull'utilizzo di una CA attendibile per emettere i certificati. La questione qui è quanto sei bravo a proteggere la chiave privata del database. Se si dispone di un certificato autofirmato o di un certificato firmato dalla CA per quella chiave, ma si perde la chiave privata, l'effetto è quasi lo stesso poiché il modo più rapido per attenuarlo sta rimuovendo l'affidabilità della chiave dell'applicazione e sostituendola per una nuova uno (su una CA si potrebbe anche chiedere la revoca del certificato, ma ciò richiederebbe più tempo per essere efficace).
Quello di cui hai bisogno è generare un certificato autofirmato per il database e configurare il database per usarlo. Quindi inserire questo certificato come attendibile nella configurazione della connessione dell'applicazione.
Forse puoi fare anche meglio, se il tuo database supporta la verifica dei certificati client, potresti avere anche un certificato nell'applicazione che è affidabile nel database. Pertanto, per connettere e stabilire una connessione affidabile, è necessario disporre di chiavi private sia client che server. Ma non so se qualche database lo supporta. Se si forniscono dettagli sul database che si utilizza, si potrebbe dare una risposta più dettagliata.