Aktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance Aktualisieren des CA-Zertifikats durch Anwenden der Wartung Rotation von Serverzertifikaten Beispielskript für den Import von Zertifikaten

Rotieren Ihrer SSL/TLS-Zertifikate

Die Zertifikate der Amazon RDS Certificate Authority rds-ca-2019 laufen im August 2024 ab. Wenn Sie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) mit Zertifikatsüberprüfung verwenden oder dies planen, um eine Verbindung zu Ihren RDS-DB-Instances herzustellen, sollten Sie die Verwendung eines der neuen CA-Zertifikate rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder 384-g1 in Betracht ziehen. rds-ca-ecc Wenn Sie SSL/TLS derzeit nicht mit der Zertifikatüberprüfung verwenden, haben Sie dennoch möglicherweise ein abgelaufenes CA-Zertifikat und müssen dieses auf ein neues CA-Zertifikat aktualisieren, wenn Sie über SSL/TLS mit Zertifikatüberprüfung eine Verbindung zu Ihren RDS-Datenbanken herstellen möchten.

Befolgen Sie diese Anweisungen, um Ihre Updates abzuschließen. Bevor Sie Ihre DB-Instances für die Verwendung des neuen CA-Zertifikats aktualisieren, stellen Sie sicher, dass Sie Ihre Clients oder Anwendungen aktualisieren, die eine Verbindung zu Ihren RDS-Datenbanken herstellen.

Amazon RDS bietet neue CA-Zertifikate als bewährte AWS Sicherheitsmethode. Informationen zu den neuen Zertifikaten und den unterstützten AWS Regionen finden Sie unterVerwenden von SSL/TLS zum Verschlüsseln einer Verbindung zu einer .

Anmerkung

Amazon RDS Proxy and Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie bei der Rotation Ihres SSL/TLS-Zertifikats keine Anwendungen aktualisieren, die RDS-Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit RDS Proxy.

Wenn Sie Amazon RDS-Zertifikate verwendenAurora Serverless v1, ist das Herunterladen von Amazon RDS-Zertifikaten nicht erforderlich. Weitere Informationen finden Sie unter Verwenden von TLS/SSL mit Aurora Serverless v1.

Anmerkung

Wenn Sie eine Go-Anwendung der Version 1.15 mit einer DB-Instance verwenden, das vor dem 28. Juli 2020 erstellt oder auf das rds-ca-2019-Zertifikat aktualisiert wurde, müssen Sie das Zertifikat erneut aktualisieren. Führen Sie den modify-db-instance Befehl . Mit dem Befehl describe-db-engine-versions finden Sie die CAs, die für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind.

Wenn Sie Ihre Datenbank nach dem 28. Juli 2020 erstellt oder ihr Zertifikat aktualisiert haben, sind keine Maßnahmen erforderlich. Weitere Informationen finden Sie in GitHub Go-Ausgabe #39568.

Themen

Aktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance
Aktualisieren des CA-Zertifikats durch Anwenden der Wartung
Automatische Rotation von Serverzertifikaten
Beispielskript für den Import von Zertifikaten in Ihren Trust Store

Aktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance

Im folgenden Beispiel wird Ihr CA-Zertifikat von rds-ca-2019 auf 2048-g1 aktualisiert. rds-ca-rsa Sie können ein anderes Zertifikat wählen. Weitere Informationen finden Sie unter Zertifizierungsstellen.

Laden Sie das neue SSL/TLS-Zertifikat herunter wie unter beschriebe Verwenden von SSL/TLS zum Verschlüsseln einer Verbindung zu einer .
Aktualisieren Sie Ihre Anwendungen zur Verwendung der neuen SSL/TLS-Zertifikate.

Die Methoden zur Aktualisierung von Anwendungen für neue SSL/TLS-Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL/TLS-Zertifikate für Ihre Anwendungen zu aktualisieren.

Informationen zur Prüfung auf SSL/TLS-Verbindungen und die Aktualisierung von Anwendungen für jede DB_Engine finden Sie in den folgenden Themen:
- Aktualisieren von Anwendungen, um Verbindungen mit DB-Clustern von Aurora MySQL mithilfe neuer TLS-Zertifikate herzustellen
- Aktualisieren von Anwendungen für die Verbindung zu Aurora-PostgreSQL-DB-Clustern mit neuen SSL/TLS-Zertifikaten
Ein Beispielskript, das einen Trust Store für ein Linux-Betriebssystem aktualisiert, finden Sie unter Beispielskript für den Import von Zertifikaten in Ihren Trust Store.

Anmerkung
Das Zertifikat-Bundle enthält Zertifikate für die neue und die alte CA, damit Sie Ihre Anwendung sicher aktualisieren und die Verbindung während der Übergangsphase aufrecht erhalten können. Wenn Sie das verwenden, um eine Datenbank AWS Database Migration Service zu einer zu migrieren, empfehlen wir die Verwendung des Zertifikatspakets, um die Konnektivität während der Migration sicherzustellen.
Ändern Sie die DB-Instance , um die CA von rds-ca-2019 auf 2048-g1 zu ändern. rds-ca-rsa Um zu überprüfen, ob Ihre Datenbank zum Aktualisieren der CA-Zertifikate neu gestartet werden muss, verwenden Sie den Befehl und überprüfen Sie das Flag. describe-db-engine-versionsSupportsCertificateRotationWithoutRestart

Anmerkung
Starten Sie Ihren Babelfish-Cluster neu, nachdem Sie Änderungen vorgenommen haben, um das CA-Zertifikat zu aktualisieren.

Wichtig
Wenn nach dem Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option „Sofort anwenden“, indem Sie Sofort anwenden in der Konsole angeben oder die Option --apply-immediately mit der AWS CLI festlegen. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.
Um eine Überschreibung für Ihre Cluster-CA festzulegen, die sich vom standardmäßigen RDS-CA unterscheidet, verwenden Sie den CLI-Befehl modify-certificates.

Melden Sie sich bei der Amazon RDS-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich Datenbanken und dann die DB-Instance aus, den Sie ändern möchten.
Wählen Sie Ändern aus.
Wählen Sie im Abschnitt Konnektivität die Option rds-ca-rsa2048-g1 aus.
Klicken Sie auf Weiter und überprüfen Sie die Zusammenfassung aller Änderungen.
Wählen Sie Sofort anwenden aus, um die Änderungen sofort anzuwenden.
Überprüfen Sie auf der Bestätigungsseite Ihre Änderungen. Wenn sie korrekt sind, wählen Sie Modify DB Instance oder Modify , um Ihre Änderungen zu speichern.

Wichtig
Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.

Oder klicken Sie auf Zurück, um Ihre Änderungen zu bearbeiten, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

AWS CLI Um die CA für eine DB-Instance auf. modify-db-instance modify-db-cluster --ca-certificate-identifier

Verwenden Sie den --apply-immediately Parameter, um das Update sofort anzuwenden. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.

Wichtig

Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.

Im folgenden Beispiel wird die Änderung vorgenommen, mydbinstance indem das CA-Zertifikat auf rds-ca-rsa2048-g1 festgelegt wird.

Für LinuxmacOS, oderUnix:


aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --ca-certificate-identifier rds-ca-rsa2048-g1

Windows:


aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --ca-certificate-identifier rds-ca-rsa2048-g1

Anmerkung

Wenn Ihre Instance neu gestartet werden muss, können Sie den modify-db-instanceCLI-Befehl verwenden und die --no-certificate-rotation-restart Option angeben.

Aktualisieren des CA-Zertifikats durch Anwenden der Wartung

Führen Sie die folgenden Schritte aus, um Ihr CA-Zertifikat zu aktualisieren, indem Sie die Wartung durchführen.

Um Ihr CA-Zertifikat zu aktualisieren, indem Sie Wartungsarbeiten durchführen

Melden Sie sich bei der Amazon RDS-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich die Option Certificate update aus.

Die Seite Datenbanken, die eine Zertifikataktualisierung erfordern wird angezeigt.

Anmerkung
Auf dieser Seite werden nur die aktuellen DB-Instances angezeigt AWS-Region. Wenn Sie Datenbanken in mehr als einer haben AWS-Region, überprüfen Sie diese Seite auf jeder Seite, AWS-Region um alle DB-Instances mit alten SSL/TLS-Zertifikaten zu sehen.
Wählen Sie die DB-Instance aus, den Sie aktualisieren möchten.

Sie können die Zertifikatrotation für das nächste Wartungsfenster planen, indem Sie Zeitplan wählen. Wenden Sie die Rotation sofort an, indem Sie Jetzt anwenden wählen.

Wichtig
Wenn nach Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option Jetzt anwenden.
1. Wenn Sie Zeitplan wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen. In dieser Aufforderung wird auch das geplante Fenster für das Update angegeben.
2. Wenn Sie Jetzt anwenden wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen.
Wichtig
Bevor Sie die Rotation des CA-Zertifikats in der Datenbank planen, aktualisieren Sie alle Clientanwendungen, die SSL/TLS und das Serverzertifikat verwenden, um eine Verbindung herzustellen. Diese Updates sind spezifisch für Ihre DB-Engine. Nachdem Sie diese Clientanwendungen aktualisiert haben, können Sie die Rotation des CA-Zertifikats bestätigen.

Aktivieren Sie das Kontrollkästchen und klicken Sie dann auf Confirm (Bestätigen), um fortzufahren.
Wiederholen Sie die Schritte 3 und 4 für jede DB-Instance , den Sie aktualisieren möchten.

Automatische Rotation von Serverzertifikaten

Wenn Ihre CA die automatische Rotation von Serverzertifikaten unterstützt, übernimmt RDS automatisch die Rotation des DB-Serverzertifikats. RDS verwendet dieselbe Stamm-CA für diese automatische Rotation, sodass Sie kein neues CA-Paket herunterladen müssen. Siehe Zertifizierungsstellen.

Die Rotation und Gültigkeit Ihres DB-Serverzertifikats hängen von Ihrer DB-Engine ab:

Wenn Ihre DB-Engine die Rotation ohne Neustart unterstützt, rotiert RDS das DB-Serverzertifikat automatisch, ohne dass Sie etwas unternehmen müssen. RDS versucht, Ihr DB-Serverzertifikat in Ihrem bevorzugten Wartungsfenster nach der Halbwertszeit des DB-Serverzertifikats zu rotieren. Das neue DB-Serverzertifikat ist 12 Monate lang gültig.
Wenn Ihre DB-Engine die Rotation ohne Neustart nicht unterstützt, benachrichtigt RDS Sie mindestens 6 Monate vor Ablauf des DB-Serverzertifikats über ein Wartungsereignis. Das neue DB-Serverzertifikat ist 36 Monate lang gültig.

Verwenden Sie den describe-db-engine-versionsBefehl und überprüfen Sie das SupportsCertificateRotationWithoutRestart Flag, um festzustellen, ob die DB-Engine-Version das Rotieren des Zertifikats ohne Neustart unterstützt. Weitere Informationen finden Sie unter Einstellung der CA für Ihre Datenbank.

Beispielskript für den Import von Zertifikaten in Ihren Trust Store

Nachfolgend sind Beispiel-Shell-Skripte aufgeführt, die das Zertifikatspaket in einen Vertrauensspeicher importieren.

Jedes Beispiel-Shell-Skript verwendet keytool, das Teil des Java Development Kits (JDK) ist. Weitere Informationen über die Installation von JDK finden Sie im JDK-Installationshandbuch.

Themen

Beispielskript für den Import von Zertifikaten unter Linux
Beispielskript zum Importieren von Zertifikaten unter macOS

Beispielskript für den Import von Zertifikaten unter Linux

Nachfolgend finden Sie ein Beispiel-Shell-Skript, das das Zertifikatpaket in einen Trust Store auf einem Linux-Betriebssystem importiert.



mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done

Beispielskript zum Importieren von Zertifikaten unter macOS

Es folgt ein Beispiel für ein Shell-Skript, das das Zertifikatspaket in einen Vertrauensspeicher unter macOS importiert.



mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca-

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung

Richtlinie für den Datenverkehr zwischen Netzwerken