Beheben von Problemen mit dem SSL-/TLS-Verbindungsaufbau - Amazon-DynamoDB
Testen Ihrer Anwendung oder Ihres ServicesTesten des Client-BrowsersAktualisieren des Software-AnwendungsclientsAktualisieren Ihres ClientbrowsersManuelles Aktualisieren Ihres Zertifikatpakets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben von Problemen mit dem SSL-/TLS-Verbindungsaufbau

Amazon DynamoDB ist dabei, unsere Endpunkte auf sichere Zertifikate umzustellen, die von der Amazon-Trust-Services-(ATS)-Zertifizierungsstelle anstelle einer Drittanbieter-Zertifizierungsstelle signiert wurden. Im Dezember 2017 haben wir die Region EU-WEST-3 (Paris) mit den von Amazon Trust Services ausgestellten sicheren Zertifikaten ins Leben gerufen. Alle neuen Regionen, die nach Dezember 2017 gestartet wurden, verfügen über Endpunkte mit den von Amazon Trust Services ausgestellten Zertifikaten. In diesem Handbuch erfahren Sie, wie Sie SSL/TLS-Verbindungsprobleme überprüfen und beheben.

Testen Ihrer Anwendung oder Ihres Services

Die meisten AWS SDKs und Befehlszeilenschnittstellen (CLI) unterstützen die Amazon Trust Services Certificate Authority. Wenn Sie eine Version des AWS SDK für Python oder CLI verwenden, die vor dem 29. Oktober 2013 veröffentlicht wurde, müssen Sie ein Upgrade durchführen. Die.NET-, Java-, PHP- JavaScript, Go- und C++-SDKs und -CLIs bündeln keine Zertifikate, ihre Zertifikate stammen aus dem zugrunde liegenden Betriebssystem. Das Ruby SDK enthält seit dem 10. Juni 2015 mindestens eine der erforderlichen Zertifizierungsstellen. Vor diesem Datum hat das Ruby V2 SDK keine Zertifikate gebündelt. Wenn Sie eine nicht unterstützte, benutzerdefinierte oder modifizierte Version des AWS SDK verwenden oder wenn Sie einen benutzerdefinierten Trust Store verwenden, verfügen Sie möglicherweise nicht über den Support, den Sie für die Amazon Trust Services Certificate Authority benötigen.

Um den Zugriff auf DynamoDB Endpunkte zu validieren, müssen Sie einen Test entwickeln, der auf die DynamoDB-API oder die DynamoDB Streams-API in der Region EU-WEST-3 zugreift und überprüfen, ob der TLS-Handshake erfolgreich ist. Die spezifischen Endpunkte, auf die Sie in einem solchen Test zugreifen müssen, sind:

Wenn Ihre Anwendung die Amazon-Trust-Services-Zertifizierungsstelle nicht unterstützt, wird einer der folgenden Fehler angezeigt:

  • SSL/TLS-Aushandlungsfehler

  • Eine lange Verzögerung, bis Ihre Software einen Fehler erhält, der auf einen Fehler bei der SSL/TLS-Aushandlung hinweist. Die Verzögerungszeit hängt von der Wiederholungsstrategie und der Timeout-Konfiguration Ihres Clients ab.

Testen des Client-Browsers

Um zu überprüfen, ob Ihr Browser eine Verbindung zu Amazon DynamoDB herstellen kann, öffnen Sie die folgende URL: https://dynamodb.eu-west-3.amazonaws.com. Wenn der Test erfolgreich ist, sehen Sie eine Meldung wie diese: 

healthy: dynamodb.eu-west-3.amazonaws.com

Wenn der Test nicht erfolgreich ist, wird ein ähnlicher Fehler angezeigt: https://untrusted-root.badssl.com/.

Aktualisieren des Software-Anwendungsclients

Anwendungen, die auf DynamoDB- oder DynamoDB Streams-API-Endpunkte zugreifen (ob über Browser oder programmgesteuert), müssen die Liste der vertrauenswürdigen Zertifizierungsstellen auf den Clientcomputern aktualisieren, wenn sie noch keine der folgenden Zertifizierungsstellen unterstützen:

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certification Authority

Wenn die Clients bereits einer der oben genannten drei Zertifizierungsstellen vertrauen, vertrauen diese Zertifikate, die von DynamoDB verwendet werden und es ist keine Aktion erforderlich. Wenn Ihre Clients jedoch keiner der oben genannten Zertifizierungsstellen vertrauen, schlagen die HTTPS-Verbindungen zu den DynamoDB- oder DynamoDB-Streams-APIs fehl. Weitere Informationen finden Sie in diesem Blogbeitrag: https://aws.amazon.com/blogs/security/ how-to-prepare-for - aws-move-to-its -own-certificate-authority/.

Aktualisieren Ihres Clientbrowsers

Sie können das Zertifikatspaket in Ihrem Browser einfach aktualisieren, indem Sie Ihren Browser aktualisieren. Anweisungen für die gängigsten Browser finden Sie auf den Webseiten der Browser:

Manuelles Aktualisieren Ihres Zertifikatpakets

Wenn Sie nicht auf die DynamoDB-API oder die DynamoDB-Streams-API zugreifen können, müssen Sie Ihr Zertifikatspaket aktualisieren. Dazu müssen Sie mindestens eine der erforderlichen Zertifizierungsstellen importieren. Sie finden diese unter https://www.amazontrust.com/repository/.

Die folgenden Betriebssysteme und Programmiersprachen unterstützen Amazon-Trust-Services-Zertifikate:

  • Windows Versionen, auf denen Updates vom Januar 2005 oder höher installiert sind, Windows Vista, Windows 7, Windows Server 2008 oder neuere Versionen.

  • MacOS X 10.4 mit Java für MacOS X 10.4 Release 5, MacOS X 10.5 und neuere Versionen.

  • Red Hat Enterprise Linux 5 (März 2007), Linux 6 und Linux 7 und CentOS 5, CentOS 6 und CentOS 7

  • Ubuntu 8.10

  • Debian 5.0

  • Amazon Linux (Alle Versionen)

  • Java 1.4.2_12, Java 5 Update 2 und alle neueren Versionen, einschließlich Java 6, Java 7 und Java 8

Wenn Sie immer noch keine Verbindung herstellen können, schlagen Sie in der Softwaredokumentation oder beim Betriebssystemanbieter nach, oder wenden Sie sich an den AWS Support https://aws.amazon.com/support, um weitere Unterstützung zu erhalten.