Aktualisierung Ihrer Amazon DocumentDB DocumentDB-Zertifikate TLS

Das Zertifikat der Zertifizierungsstelle (CA) für Amazon DocumentDB-Cluster wird ab August 2024 aktualisiert. Wenn Sie Amazon DocumentDB-Cluster mit aktiviertem Transport Layer Security (TLS) verwenden (Standardeinstellung) und Sie Ihre Client-Anwendungs- und Serverzertifikate nicht rotiert haben, sind die folgenden Schritte erforderlich, um Verbindungsprobleme zwischen Ihrer Anwendung und Ihren Amazon DocumentDB-Clustern zu beheben.

• Schritt 1: Herunterladen des neuen CA-Zertifikats und Aktualisieren Ihrer Anwendung

• Schritt 2: Aktualisieren des Serverzertifikats

Die CA- und Serverzertifikate wurden im Rahmen der bewährten Standardmethoden für Wartung und Sicherheit für Amazon DocumentDB aktualisiert. Client-Anwendungen müssen die neuen CA-Zertifikate zu ihren Trust Stores hinzufügen, und bestehende Amazon DocumentDB DocumentDB-Instances müssen aktualisiert werden, sodass sie die neuen CA-Zertifikate vor diesem Ablaufdatum verwenden können.

Aktualisierung Ihrer Anwendung und Ihres Amazon DocumentDB-Clusters

Führen Sie die Schritte in diesem Abschnitt aus, um das CA-Zertifikatspaket Ihrer Anwendung (Schritt 1) und die Serverzertifikate Ihres Clusters (Schritt 2) zu aktualisieren. Bevor Sie die Änderungen auf Ihre Produktionsumgebungen anwenden, empfehlen wir dringend, diese Schritte in einer Entwicklungs- oder Stagingumgebung zu testen.

Anmerkung

Sie müssen die Schritte 1 und 2 jeweils AWS-Region ausführen, wenn Sie Amazon DocumentDB-Cluster haben.

Schritt 1: Herunterladen des neuen CA-Zertifikats und Aktualisieren Ihrer Anwendung

Laden Sie das neue CA-Zertifikat herunter und aktualisieren Sie Ihre Anwendung so, dass sie das neue CA-Zertifikat verwendet, um TLS Verbindungen zu Amazon DocumentDB herzustellen. Laden Sie das neue CA-Zertifikatpaket von https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem herunter. Diese Operation lädt die Datei mit dem Namen global-bundle.pem herunter.

Anmerkung

Wenn Sie auf den Keystore zugreifen, der sowohl das alte CA-Zertifikat (rds-ca-2019-root.pem) als auch die neuen CA-Zertifikate (rds-ca-rsa2048-g1,,) enthält, stellen Sie sicherrds-ca-rsa4096-g1, rds-ca-ecc384-g1 dass der Keystore auswählt. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

Aktualisieren Sie als Nächstes Ihre Anwendungen, um das neue Zertifikatpaket zu verwenden. Das neue CA-Paket enthält sowohl das alte CA-Zertifikat (rds-ca-2019) als auch die neuen CA-Zertifikate (2048-g1, 4096-g1, 384-g1). rds-ca-rsa rds-ca-rsa rds-ca-ecc Wenn beide CA-Zertifikate im neuen CA-Paket enthalten sind, können Sie Ihre Anwendung und Ihren Cluster in zwei Schritten aktualisieren.

Informationen dazu, wie Sie überprüfen, ob Ihre Anwendung das neueste CA-Zertifikatspaket verwendet, finden Sie unter Wie kann ich sicher sein, dass ich das neueste Zertifizierungsstellenpaket verwende?. Wenn Sie das neueste CA-Zertifikatspaket in Ihrer Anwendung bereits verwenden, können Sie mit Schritt 2 fortfahren.

Beispiele für die Verwendung eines Zertifizierungsstellenpakets mit Ihrer Anwendung finden Sie unter Verschlüsseln von Daten während der Übertragung und TLSVerbindung herstellen mit aktiviert.

Anmerkung

Zurzeit akzeptiert der MongoDB Go Driver 1.2.1 nur ein einzelnes CA-Serverzertifikat in sslcertificateauthorityfile. TLSVerbindung herstellen mit aktiviertWeitere Informationen finden Sie unter Herstellen einer Verbindung zu Amazon DocumentDB mit Go, wenn TLS es aktiviert ist.

Schritt 2: Aktualisieren des Serverzertifikats

Nachdem die Anwendung für die Verwendung des neuen CA-Bundles aktualisiert wurde, besteht der nächste Schritt darin, das Serverzertifikat zu aktualisieren, indem jede Instance in einem Amazon DocumentDB-Cluster geändert wird. Informationen zum Ändern von Instances zur Verwendung des neuen Serverzertifikats finden Sie in den folgenden Anweisungen.

Amazon DocumentDB bietet FolgendesCAs, um das DB-Serverzertifikat für eine DB-Instance zu signieren:

• rds-ca-ecc384-g1 — Verwendet eine Zertifizierungsstelle mit einem 384-Algorithmus für private Schlüssel und einem ECC Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten. Dies wird nur auf Amazon DocumentDB 4.0 und 5.0 unterstützt.

• rds-ca-rsa2048-g1 — Verwendet in den meisten Regionen eine Zertifizierungsstelle mit einem RSA 2048-Algorithmus für private Schlüssel und SHA256 einem Signaturalgorithmus. AWS Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

• rds-ca-rsa4096-g1 — Verwendet eine Zertifizierungsstelle mit einem RSA 4096-Algorithmus für private Schlüssel und einem Signaturalgorithmus. SHA384 Diese CA unterstützt die automatische Rotation von Serverzertifikaten.

Anmerkung

Wenn Sie den verwenden AWS CLI, können Sie die Gültigkeiten der oben aufgeführten Zertifizierungsstellen mithilfe von Describe-Zertifikaten überprüfen.

Diese CA-Zertifikate sind im regionalen und globalen Zertifikat-Bundle enthalten. Wenn Sie die CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 oder rds-ca-ecc 384-g1 mit einer Datenbank verwenden, verwaltet Amazon DocumentDB das DB-Serverzertifikat in der Datenbank. Amazon DocumentDB rotiert das DB-Serverzertifikat automatisch, bevor es abläuft.

Anmerkung

Für die Aktualisierung Ihrer Amazon DocumentDB 3.6-Instances ist ein Neustart erforderlich, was zu Serviceunterbrechungen führen kann. Amazon DocumentDB 4.0 und 5.0 erfordern keinen Neustart. Sie müssen Schritt 1 abschließen, bevor Sie das Serverzertifikat aktualisieren.

Using the AWS Management Console

Führen Sie die folgenden Schritte aus, um das alte Serverzertifikat für Ihre vorhandenen Amazon DocumentDB DocumentDB-Instances mithilfe von zu identifizieren und zu rotieren. AWS Management Console

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

2. Wählen Sie in der Liste der Regionen in der oberen rechten Ecke des Bildschirms die Region aus, AWS-Region in der sich Ihre Cluster befinden.

3. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

4. Möglicherweise müssen Sie herausfinden, welche Instanzen sich noch auf dem alten Serverzertifikat befinden (rds-ca-2019). Sie können dies in der Spalte Zertifizierungsstelle tun, die sich ganz rechts in der Cluster-Tabelle befindet.

5. In der Cluster-Tabelle sehen Sie ganz links die Spalte Cluster-ID. Ihre Instances werden unter Clustern aufgeführt, ähnlich wie in der Abbildung unten.

   

6. Markieren Sie das Kästchen links neben der Instanz, an der Sie interessiert sind.

7. Wählen Sie Aktionen und dann Ändern.

8. Wählen Sie unter Certificate authority (Zertifizierungsstelle) das neue Serverzertifikat (d. h. rds-ca-rsa2048-g1) für diese Instance aus.

9. Sie können eine Zusammenfassung der Änderungen auf der nächsten Seite sehen. Beachten Sie, dass es eine zusätzliche Warnung gibt, die Sie daran erinnert, dass Ihre Anwendung das neueste Zertifizierungsstellenpaket verwendet, bevor Sie die Instance ändern, um eine Unterbrechung der Konnektivität zu vermeiden.

10. Sie können die Änderung während Ihres nächsten Wartungsfensters oder sofort anwenden. Wenn Sie beabsichtigen, das Serverzertifikat sofort zu ändern, verwenden Sie die Option Apply Immediately (Sofort anwenden) .

11. Wählen Sie Modify instance (Instance ändern), um die Aktualisierung abzuschließen.

Using the AWS CLI

Führen Sie die folgenden Schritte aus, um das alte Serverzertifikat für Ihre vorhandenen Amazon DocumentDB DocumentDB-Instances mithilfe von zu identifizieren und zu rotieren. AWS CLI

1. Um die Instances sofort zu ändern, führen Sie für jede Instance im Cluster den folgenden Befehl aus.

   aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately 

2. Um die Instances in Ihren Clustern so zu ändern, dass sie während des nächsten Wartungsfensters Ihres Clusters das neue CA-Zertifikat verwenden, führen Sie für jede Instance im Cluster den folgenden Befehl aus.

   aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Fehlerbehebung

Wenn im Rahmen der Zertifikatrotation Probleme beim Herstellen einer Verbindung mit dem Cluster auftreten, empfehlen wir Folgendes:

• Starten Sie Ihre Instances neu (nur Amazon DocumentDB 3.6). Das Rotieren des neuen Zertifikats erfordert, dass Sie jede Ihrer Instances neu starten. Wenn Sie das neue Zertifikat auf eine oder mehrere Instances angewendet haben, diese jedoch nicht neu gestartet haben, starten Sie die Instances neu, um das neue Zertifikat anzuwenden. Weitere Informationen finden Sie unter Eine Amazon DocumentDB DocumentDB-Instance neu starten.

  Anmerkung

  Amazon DocumentDB 4.0 und 5.0 erfordern keinen Neustart für die Zertifikatsrotation.

• Stellen Sie sicher, dass Ihre Clients das neueste Zertifikatpaket verwenden. Siehe Wie kann ich sicher sein, dass ich das neueste Zertifizierungsstellenpaket verwende?.

• Stellen Sie sicher, dass Ihre Instances das neueste Zertifikat verwenden. Siehe Woher weiß ich, welche meiner Amazon DocumentDB DocumentDB-Instances das alte/neue Serverzertifikat verwenden?.

• Stellen Sie sicher, dass die neueste Zertifizierungsstelle von Ihrer Anwendung verwendet wird. Einige Treiber, wie Java und Go, benötigen zusätzlichen Code, um mehrere Zertifikate aus einem Zertifikatpaket in den Vertrauensspeicher zu importieren. Weitere Informationen zum Herstellen einer Verbindung zu Amazon DocumentDB mit finden Sie TLS unterProgrammgesteuertes Herstellen einer Verbindung zu Amazon DocumentDB.

• Wenden Sie sich an den Support. Wenn Sie Fragen oder Probleme haben, wenden Sie sich an AWS Support.

Häufig gestellte Fragen

Im Folgenden finden Sie Antworten auf einige häufig gestellte Fragen zu TLS Zertifikaten.

Was passiert, wenn ich Fragen oder Probleme habe?

Wenn Sie Fragen oder Probleme haben, wenden Sie sich an AWS Support.

Woher weiß ich, ob ich eine Verbindung TLS zu meinem Amazon DocumentDB-Cluster verwende?

Sie können feststellen, ob Ihr Cluster verwendet, TLS indem Sie den tls Parameter für die Cluster-Parametergruppe Ihres Clusters untersuchen. Wenn der tls Parameter auf gesetzt istenabled, verwenden Sie das TLS Zertifikat, um eine Verbindung zu Ihrem Cluster herzustellen. Weitere Informationen finden Sie unter Verwaltung von Amazon DocumentDB-Cluster-Parametergruppen.

Warum aktualisieren Sie die Zertifizierungsstellen- und Serverzertifikate?

Die Amazon DocumentDB-CA- und Serverzertifikate werden im Rahmen der bewährten Standardmethoden für Wartung und Sicherheit für Amazon DocumentDB aktualisiert. Die aktuellen CA- und Serverzertifikate laufen ab August 2024 ab.

Was passiert, wenn ich bis zum Ablaufdatum keine Maßnahmen ergreife?

Wenn Sie eine Verbindung TLS zu Ihrem Amazon DocumentDB-Cluster verwenden und die Zertifikatsänderung nicht bis zum vornehmen, können Ihre Anwendungen, die eine Verbindung herstellen, nicht mehr mit dem Amazon DocumentDB-Cluster kommunizieren. TLS

Amazon DocumentDB rotiert Ihre Datenbankzertifikate vor Ablauf nicht automatisch. Sie müssen Ihre Anwendungen und Cluster aktualisieren, damit sie die neuen CA-Zertifikate vor oder nach dem Ablaufdatum verwenden können.

Woher weiß ich, welche meiner Amazon DocumentDB DocumentDB-Instances das alte/neue Serverzertifikat verwenden?

Um die Amazon DocumentDB-Instances zu identifizieren, die noch das alte Serverzertifikat verwenden, können Sie entweder die Amazon DocumentDB AWS Management Console oder die verwenden. AWS CLI

Mit dem AWS Management Console

So identifizieren Sie die Instances in Ihren Clustern, die das ältere Zertifikat verwenden

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

2. Wählen Sie in der Liste der Regionen in der oberen rechten Ecke des Bildschirms die Region aus, AWS-Region in der sich Ihre Instances befinden.

3. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

4. In der Spalte Zertifizierungsstelle (ganz rechts in der Tabelle) wird angezeigt, welche Instanzen sich noch auf dem alten Serverzertifikat (rds-ca-2019) und dem neuen Serverzertifikat (rds-ca-rsa2048-g1) befinden.

Mit dem AWS CLI

Um die Instances in Ihren Clustern zu identifizieren, die das ältere Serverzertifikat verwenden, verwenden Sie den Befehl describe-db-clusters mit Folgendem:

aws docdb describe-db-instances \
    --filters Name=engine,Values=docdb \
    --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
         

Wie ändere ich einzelne Instances in meinem Amazon DocumentDB-Cluster, um das Serverzertifikat zu aktualisieren?

Sie sollten die Serverzertifikate für alle Instances in einem Cluster gleichzeitig aktualisieren. Um die Instances im Cluster zu ändern, können Sie die Konsole oder die AWS CLI verwenden.

Anmerkung

Für die Aktualisierung Ihrer Amazon DocumentDB 3.6-Instances ist ein Neustart erforderlich, was zu Serviceunterbrechungen führen kann. Amazon DocumentDB 4.0 und 5.0 erfordern keinen Neustart. Sie müssen Schritt 1 abschließen, bevor Sie das Serverzertifikat aktualisieren.

Mit dem AWS Management Console

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

2. Wählen Sie in der Liste der Regionen in der oberen rechten Ecke des Bildschirms die Region aus, AWS-Region in der sich Ihre Cluster befinden.

3. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

4. In der Spalte Zertifizierungsstelle (ganz rechts in der Tabelle) wird angezeigt, welche Instanzen sich noch auf dem alten Serverzertifikat befinden (rds-ca-2019).

5. Wählen Sie in der Cluster-Tabelle unter Cluster-ID eine Instanz aus, die geändert werden soll.

6. Wählen Sie Aktionen und dann Ändern.

7. Wählen Sie unter Certificate authority (Zertifizierungsstelle) das neue Serverzertifikat (d. h. rds-ca-rsa2048-g1) für diese Instance aus.

8. Sie können eine Zusammenfassung der Änderungen auf der nächsten Seite sehen. Beachten Sie, dass es eine zusätzliche Warnung gibt, die Sie daran erinnert, dass Ihre Anwendung das neueste Zertifizierungsstellenpaket verwendet, bevor Sie die Instance ändern, um eine Unterbrechung der Konnektivität zu vermeiden.

9. Sie können die Änderung während Ihres nächsten Wartungsfensters oder sofort anwenden.

10. Wählen Sie Modify instance (Instance ändern), um die Aktualisierung abzuschließen.

Verwenden Sie den AWS CLI

Führen Sie die folgenden Schritte aus, um das alte Serverzertifikat für Ihre vorhandenen Amazon DocumentDB DocumentDB-Instances mithilfe von zu identifizieren und zu rotieren. AWS CLI

1. Um die Instances sofort zu ändern, führen Sie für jede Instance im Cluster den folgenden Befehl aus.

   aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately 

2. Um die Instances in Ihren Clustern so zu ändern, dass sie während des nächsten Wartungsfensters Ihres Clusters das neue CA-Zertifikat verwenden, führen Sie für jede Instance im Cluster den folgenden Befehl aus.

   aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Was passiert, wenn ich einem vorhandenen Cluster eine neue Instance hinzufüge?

Alle neuen Instances, die erstellt werden, verwenden das alte Serverzertifikat und erfordern TLS Verbindungen mit dem alten CA-Zertifikat. Alle neuen Amazon DocumentDB DocumentDB-Instances, die nach dem 25. Januar 2024 erstellt wurden, verwenden standardmäßig das neue Zertifikat rds-ca-rsa 2048-g1.

Was passiert, wenn ein Instance-Ersatz oder ein Failover auf meinem Cluster vorhanden ist?

Wenn ein Instance-Ersatz in Ihrem Cluster vorhanden ist, verwendet die neu erstellte Instance weiterhin dasselbe Serverzertifikat wie die Instance davor. Es wird empfohlen, Serverzertifikate für alle Instances gleichzeitig zu aktualisieren. Wenn ein Failover im Cluster auftritt, wird das Serverzertifikat auf dem neuen Primärserver verwendet.

Muss ich trotzdem jede meiner Instances aktualisieren, wenn ich keine Verbindung zu meinem Cluster verwendeTLS?

Wir empfehlen dringend, es zu aktivierenTLS. Falls Sie dies nicht aktivierenTLS, empfehlen wir dennoch, die Zertifikate auf Ihren Amazon DocumentDB DocumentDB-Instances zu rotieren, falls Sie in future eine Verbindung TLS zu Ihren Clustern herstellen möchten. Wenn Sie nie vorhaben, eine Verbindung TLS zu Ihren Amazon DocumentDB-Clustern herzustellen, sind keine Maßnahmen erforderlich.

Was sollte ich tun, wenn ich keine Verbindung TLS zu meinem Cluster verwende, dies aber für die future plane?

Wenn Sie vor Januar 2024 einen Cluster erstellt haben, folgen Sie Schritt 1 und Schritt 2 im vorherigen Abschnitt, um sicherzustellen, dass Ihre Anwendung das aktualisierte CA-Bundle verwendet und dass jede Amazon DocumentDB DocumentDB-Instance das neueste Serverzertifikat verwendet. Wenn Sie nach dem 25. Januar 2024 einen Cluster erstellen, verfügt Ihr Cluster bereits über das neueste Serverzertifikat (rds-ca-rsa2048-g1). Informationen zum Überprüfen, ob Ihre Anwendung das neueste CA-Paket verwendet, finden Sie unter Muss ich trotzdem jede meiner Instances aktualisieren, wenn ich keine Verbindung zu meinem Cluster verwendeTLS?.

Kann die Frist über den August 2024 hinaus verlängert werden?

Wenn Ihre Bewerbungen über eine Verbindung hergestellt werdenTLS, kann die Frist nicht verlängert werden.

Wie kann ich sicher sein, dass ich das neueste Zertifizierungsstellenpaket verwende?

Verwenden Sie den folgenden Befehl, um zu überprüfen, ob Sie das neueste Paket haben. Um diesen Befehl ausführen zu können, muss Java installiert sein und die Java-Tools müssen sich in der PATH Variablen Ihrer Shell befinden. Weitere Informationen finden Sie unter Java verwenden

macOS und Amazon Linux

keytool -printcert -v -file global-bundle.pem

Windows

keytool -printcert -v -file global-bundle.p7b

Warum sehe ich "RDS" im Namen des CA-Bundles?

Für bestimmte Verwaltungsfunktionen, wie z. B. die Zertifikatsverwaltung, verwendet Amazon DocumentDB Betriebstechnologie, die gemeinsam mit Amazon Relational Database Service (AmazonRDS) genutzt wird.

Wann läuft das neue Zertifikat ab?

Das neue Serverzertifikat läuft (in der Regel) wie folgt ab:

• rds-ca-rsa2048-g1 — Läuft 2061 ab

• rds-ca-rsa4096-g1 — Läuft 2121 ab

• rds-ca-ecc384-g1 — Läuft 2121 ab

Welche Fehler treten auf, wenn ich vor Ablauf des Zertifikats keine Maßnahmen ergreife?

Die Fehlermeldungen variieren je nach Treiber. Im Allgemeinen werden Ihnen Fehler bei der Zertifikatsvalidierung angezeigt, die die Zeichenfolge „Zertifikat ist abgelaufen“ enthalten.

Kann ich nach der Anwendung des neuen Serverzertifikats wieder zum alten Zertifikat zurückkehren?

Wenn Sie eine Instance auf das alte Serverzertifikat zurücksetzen müssen, sollten Sie alle Instances im Cluster zurücksetzen. Sie können das Serverzertifikat für jede Instanz in einem Cluster rückgängig machen, indem Sie den AWS Management Console oder den AWS CLI verwenden.

Mit dem AWS Management Console

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter https://console.aws.amazon.com/docdb.

2. Wählen Sie in der Liste der Regionen in der oberen rechten Ecke des Bildschirms die Region aus, AWS-Region in der sich Ihre Cluster befinden.

3. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

4. Wählen Sie in der Cluster-Tabelle unter Cluster-ID eine Instanz aus, die Sie ändern möchten. Wählen Sie Actions (Aktionen) und dann Modify (Ändern) aus.

5. Unter Certificate authority (Zertifizierungsstelle) können Sie das alte Serverzertifikat (rds-ca-2019) auswählen.

6. Wählen Sie Continue (Weiter) aus, um eine Übersicht Ihrer Änderungen anzuzeigen.

7. Auf dieser resultierenden Seite können Sie festlegen, dass Ihre Änderungen im nächsten Wartungsfenster oder sofort angewendet werden sollen. Wählen Sie die gewünschte Option und anschließend Modify instance (Instance ändern) aus.

   Anmerkung

   Wenn Sie Ihre Änderungen sofort anwenden möchten, werden alle Änderungen in der Warteschlange für ausstehende Änderungen ebenfalls angewendet. Wenn eine der ausstehenden Änderungen eine Ausfallszeit erfordert, kann die Auswahl dieser Option einen unerwarteten Ausfall verursachen.

Verwenden Sie den AWS CLI

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

Wenn Sie --no-apply-immediately wählen, werden die Änderungen während des nächsten Wartungsfensters des Clusters angewendet.

Wird bei einer Wiederherstellung, die ich aus einem Snapshot oder zeitpunktbezogen ausführe, das neue Serverzertifikat verwendet?

Wenn Sie nach August 2024 einen Snapshot point-in-time wiederherstellen oder eine Wiederherstellung durchführen, verwendet der neu erstellte Cluster das neue CA-Zertifikat.

Was ist, wenn ich Probleme habe, von einem beliebigen Mac OS aus eine direkte Verbindung zu meinem Amazon DocumentDB-Cluster herzustellen?

Mac OS hat die Anforderungen für vertrauenswürdige Zertifikate aktualisiert. Vertrauenswürdige Zertifikate müssen jetzt 397 Tage oder weniger gültig sein (siehehttps://support.apple.com/en-us/HT211025).

Anmerkung

Diese Einschränkung gilt für neuere Versionen von Mac OS.

Amazon DocumentDB DocumentDB-Instance-Zertifikate sind über vier Jahre gültig und damit länger als das Mac OS-Maximum. Um von einem Computer mit Mac OS aus eine direkte Verbindung zu einem Amazon DocumentDB-Cluster herzustellen, müssen Sie beim Herstellen der TLS Verbindung ungültige Zertifikate zulassen. In diesem Fall bedeuten ungültige Zertifikate, dass die Gültigkeitsdauer mehr als 397 Tage beträgt. Sie sollten die Risiken verstehen, bevor Sie ungültige Zertifikate zulassen, wenn Sie eine Verbindung zu Ihrem Amazon DocumentDB-Cluster herstellen.

Verwenden Sie den Parameter, um von Mac OS aus eine Verbindung zu einem Amazon DocumentDB-Cluster herzustellen AWS CLI, indem Sie den tlsAllowInvalidCertificates Parameter verwenden.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates