Aktualisieren von Anwendungen für die Verbindung zu Aurora-PostgreSQL-DB-Clustern mit neuen SSL/TLS-Zertifikaten

Am 13. Januar 2023 veröffentlichte Amazon RDS neue Zertifizierungsstellen-Zertifikate (Certificate Authority, CA) zum Herstellen von Verbindungen mit Ihren Aurora-DB-Clustern mithilfe von Secure Socket Layer oder Transport Layer Security (SSL/TLS). Im Folgenden finden Sie Informationen dazu, wie Sie Ihre Anwendungen aktualisieren, um die neuen Zertifikate verwenden zu können.

In diesem Thema finden Sie Informationen dazu, wie Sie ermitteln, ob Client-Anwendungen für die Herstellung von Verbindungen mit Ihren DB-Clustern SSL/TLS verwenden. Wenn dies der Fall ist, können Sie weiter überprüfen, ob diese Anwendungen zur Herstellung von Verbindungen Zertifikatverifizierungen erfordern.

Anmerkung

Einige Anwendungen sind so konfiguriert, dass sie nur dann Verbindungen mit Aurora PostgreSQL-DB-Clustern herstellen, wenn sie das Zertifikat auf dem Server erfolgreich identifizieren können.

Für solche Anwendungen müssen Sie die Trust Stores Ihrer Client-Anwendung aktualisieren, damit diese die neuen CA-Zertifikate enthalten.

Nach der Aktualisierung der CA-Zertifikate in den Trust Stores Ihrer Client-Anwendungen können Sie die Zertifikate auf Ihren DB-Clustern rotieren. Es wird nachdrücklich empfohlen, diese Verfahren vor der Implementierung in Produktionsumgebungen in einer Entwicklungs- oder Testumgebung zu testen.

Weitere Informationen zur Zertifikatrotation finden Sie unter Ihr SSL TLS /-Zertifikat rotieren. Weitere Informationen zum Herunterladen von Zertifikaten finden Sie unter Verwenden vonSSL/TLSzum Verschlüsseln einer Verbindung zu einer . Informationen zum Verwenden von SSL/TLS mit PostgreSQL-DB-Clustern finden Sie unter Sicherung von Aurora SQL Postgre-Daten mit/ SSL TLS.

Ermitteln, ob Anwendungen Verbindungen mit Aurora-PostgreSQL-DB-Clustern mithilfe von SSL herstellen

Prüfen Sie die DB-Cluster-Konfiguration auf den Wert des rds.force_ssl-Parameters. Standardmäßig ist der Parameter rds.force_ssl auf 0 festgelegt. Wenn der Parameter rds.force_ssl auf 1 (ein) festgelegt ist, müssen Clients SSL/TLS für Verbindungen verwenden. Weitere Informationen zu Parametergruppen finden Sie unter Parametergruppen für Amazon Aurora.

Wenn rds.force_ssl nicht auf 1 (an) festgelegt ist, fragen Sie pg_stat_ssl ab, um zu prüfen, welche Verbindungen SSL verwenden. Beispielsweise gibt die folgende Abfrage nur SSL-Verbindungen und Informationen zu den Clients zurück, die SSL verwenden.

select datname, usename, ssl, client_addr from pg_stat_ssl inner join pg_stat_activity on pg_stat_ssl.pid = pg_stat_activity.pid where ssl is true and usename<>'rdsadmin';

Nur Zeilen, die SSL/TLS-Verbindungen verwenden, werden mit Informationen zur Verbindung angezeigt. Dies ist eine Beispielausgabe.

 datname  | usename | ssl | client_addr
----------+---------+-----+-------------
 benchdb  | pgadmin | t   | 53.95.6.13
 postgres | pgadmin | t   | 53.95.6.13
(2 rows)

Die vorherige Abfrage zeigt nur die aktuellen Verbindungen zum Zeitpunkt der Abfrage an. Das Fehlen von Ergebnissen weist nicht darauf hin, dass es keine Anwendungen gibt, die SSL-Verbindungen verwenden. Möglicherweise werden zu anderen Zeitpunkten weitere SSL-Verbindungen hergestellt.

Ermitteln, ob ein Client zum Herstellen von Verbindungen Zertifikatverifizierungen erfordert

Wenn ein Client wie psql oder JDBC mit SSL-Unterstützung konfiguriert ist, versucht dieser zunächst standardmäßig, die Verbindung zur Datenbank über SSL herzustellen. Wenn der Client keine Verbindung über SSL herstellen kann, stellt er die Verbindung ohne SSL her. Der für libpq-basierte Clients (wie psql) und JDBC verwendete sslmode-Standardmodus ist unterschiedlich. Die libpq-basierten Clients verwenden standardmäßig prefer. JDBC-Clients verwenden standardmäßig verify-full. Das Zertifikat auf dem Server wird nur verifiziert, wenn auf verify-ca oder sslmode festgelegt sslrootcert istverify-full. Wenn das Zertifikat ungültig ist, wird ein Fehler ausgelöst.

Verwenden Sie , PGSSLROOTCERT um das Zertifikat mit der PGSSLMODE Umgebungsvariablen zu überprüfen, wobei auf verify-ca oder PGSSLMODE gesetzt istverify-full.

PGSSLMODE=verify-full PGSSLROOTCERT=/fullpath/ssl-cert.pem psql -h pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com -U primaryuser -d postgres

Verwenden Sie das sslrootcert -Argument, um das Zertifikat mit sslmode im Verbindungszeichenfolgenformat zu überprüfen, wobei auf verify-ca oder sslmode gesetzt istverify-full.

psql "host=pgdbidentifier.cxxxxxxxx.us-east-2.rds.amazonaws.com sslmode=verify-full sslrootcert=/full/path/ssl-cert.pem user=primaryuser dbname=postgres"

Wenn Sie beispielsweise in vorherigen Fall ein ungültiges Stammzertifikat verwenden, sehen Sie auf Ihrem Client einen Fehler ähnlich dem folgenden.

psql: SSL error: certificate verify failed

Aktualisieren des Trust Stores Ihrer Anwendung

Informationen zum Aktualisieren des Trust Stores für PostgreSQL-Anwendungen finden Sie unter Secure TCP/IP Connections with SSL in der PostgreSQL-Dokumentation.

Anmerkung

Wenn Sie den Trust Store aktualisieren, können Sie ältere Zertifikate beibehalten und die neuen Zertifikate einfach hinzufügen.

Aktualisieren des Trust Stores Ihrer Anwendung für JDBC

Sie können den Trust Store für Anwendungen aktualisieren, die JDBC für SSL/TLS-Verbindungen verwenden.

Informationen zum Herunterladen des Stammverzeichnisses finden Sie unter Verwenden vonSSL/TLSzum Verschlüsseln einer Verbindung zu einer .

Beispiele für Skripte, die Zertifikate importieren, finden Sie unter Beispielskript für den Import von Zertifikaten in Ihren Trust Store.

Verwenden von SSL/TLS-Verbindungen für verschiedene Arten von Anwendungen

Im Folgenden finden Sie Informationen zum Verwenden von SSL/TLS-Verbindungen für verschiedene Arten von Anwendungen:

• psql

  Der Client wird über die Befehlszeile durch die Angabe von Optionen als Verbindungszeichenfolge oder Umgebungsvariablen aufgerufen. Im Fall von SSL/TLS-Verbindungen sind die relevanten Optionen sslmode (Umgebungsvariable PGSSLMODE), sslrootcert (Umgebungsvariable PGSSLROOTCERT).

  Die vollständige Liste der Optionen finden Sie unter Parameter Key Words in der PostgreSQL-Dokumentation. Die vollständige Liste der Umgebungsvariablen finden Sie unter Environment Variables in der PostgreSQL-Dokumentation.

• pgAdmin

  Dieser browserbasierte Client bietet eine benutzerfreundlichere Oberfläche zum Herstellen von Verbindungen mit PostgreSQL-Datenbanken.

  Informationen zum Konfigurieren von Verbindungen finden Sie in der pgAdmin-Dokumentation.

• JDBC

  JDBC ermöglicht Datenbankverbindungen mit Java-Anwendungen.

  Allgemeine Informationen zum Herstellen von Verbindungen mit PostgreSQL-Datenbanken über JDBC finden Sie unter Connecting to the Database in der PostgreSQL-Dokumentation. Informationen zum Herstellen von Verbindungen über SSL/TLS finden Sie unter Configuring the Client in der PostgreSQL-Dokumentation.

• Python

  Eine verbreitet für die Herstellung von Verbindungen mit PostgreSQL-Datenbanken verwendete Python-Bibliothek ist psycopg2.

  Informationen zum Verwenden von psycopg2 finden Sie in der psycopg2-Dokumentation. Ein kurzes Tutorial zum Herstellen von Verbindungen mit PostgreSQL-Datenbanken finden Sie unter Psycopg2-Tutorial. Informationen zu den vom Verbindungsbefehl akzeptierten Optionen finden Sie unter psycopg2-Modulinhalte.

Wichtig

Nachdem Sie festgestellt haben, dass Ihre Datenbankverbindungen SSL/TLS verwenden, und Ihren Anwendungsvertrauensspeicher aktualisiert haben, können Sie Ihre Datenbank so aktualisieren, dass sie die rds-ca-rsa2048-g1-Zertifikate verwendet. Anweisungen hierzu finden Sie in Schritt 3 unter Aktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance .