Aktualisieren Sie die CA-Zertifikatsversion für Ihre Lightsail-Datenbank - Amazon Lightsail
VoraussetzungenIdentifizieren Sie das aktive CA-Zertifikat für Ihre verwaltete DatenbankÄndern der verwalteten Datenbank zur Verwendung des neuen ZertifizierungsstellenzertifikatsÄndern der verwalteten Datenbank zur Verwendung des alten Zertifizierungsstellenzertifikats

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie die CA-Zertifikatsversion für Ihre Lightsail-Datenbank

Amazon Lightsail hat neue Certificate Authority (CA) -Zertifikate für die Verbindung mit Ihrer verwalteten Datenbank über SSL/TLS veröffentlicht. In diesem Handbuch wird beschrieben, wie Sie ein Upgrade auf das neue CA-Zertifikat durchführen. Sie können das Zertifikat nur aktualisieren, indem Sie den update-relational-databaseAPI-Aktion. Die neuen Zertifikate werden als rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und bezeichnetrds-ca-ecc384-g1. Das alte Zertifikat wird als bezeichnetrds-ca-2019. Wir stellen die CA-Zertifikate als bewährte AWS Sicherheitsmethode zur Verfügung. Informationen zu den CA-Zertifikaten für Ihre verwaltete Datenbank und den unterstützten AWS-Regionen finden Sie unter Herunterladen eines SSL-Zertifikats für Ihre verwaltete Datenbank.

Das alte CA-Zertifikat (rds-ca-2019) läuft am 22. August 2024 ab. Daher empfehlen wir dringend, die Schritte in diesem Handbuch so schnell wie möglich durchzuführen, um Ihre verwaltete Datenbank so zu ändern, dass das neue Zertifikat verwendet wird. Wenn Ihre Anwendungen SSL/TLS, no action is required. If these steps are not completed, your applications will fail to connect to your managed database using SSL/TLS nach dem 22. August 2024 keine Verbindung zu Ihrer von Lightsail verwalteten Datenbank herstellen.

Neue verwaltete Datenbanken, die nach dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-rsa2048-g1 Zertifikat standardmäßig. Wenn Sie neue verwaltete Datenbanken vorübergehend so ändern möchten, dass sie das alte Zertifikat (rds-ca-2019) verwenden, können Sie dies mit AWS Command Line Interface (AWS CLI) tun. Alle verwalteten Datenbanken, die vor dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-2019 Zertifikat, bis Sie sie auf die rds-ca-ecc384-g1 Zertifikate rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und aktualisieren.

Anmerkung

Testen Sie die Schritte in diesem Handbuch in einer Entwicklungs- oder Staging.Umgebung, bevor Sie diese in Produktionsumgebungen verwenden.

Voraussetzungen

  • Aktualisieren Sie Ihre Datenbank-Client-Anwendungen so, dass sie das neue SSL/TLS-Zertifikat verwenden, bevor Sie die Schritte in diesem Verfahren abschließen.

    Die Methoden zur Aktualisierung von Anwendungen für neue SSL/TLS certificates depend on your specific applications. Work with your application developers to update the SSL/TLS certificates for your applications. To learn more about updating applications for new SSL/TLS Zertifikate finden Sie unter Updating Applications to Connect to MySQL DB Instances Using New SSL/TLS Certificates oder Updating Applications to Connect to PostgreSQL DB Instances Using New SSL/TLS Certificates im Amazon Relational Database Service User Guide.

  • In diesem Handbuch verwenden Sie, um das Upgrade durchzuführen. AWS CloudShell CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der Lightsail-Konsole aus starten können. Mit CloudShell können Sie AWS Command Line Interface (AWS CLI) -Befehle mit Ihrer bevorzugten Shell wie Bash oder Z-Shell ausführen. PowerShell Sie können dies tun, ohne Befehlszeilentools herunterladen oder installieren zu müssen. Weitere Informationen zur Einrichtung und Verwendung finden Sie CloudShell unter AWS CloudShell Lightsail.

Identifizieren Sie das aktive CA-Zertifikat für Ihre verwaltete Datenbank

Führen Sie die folgenden Schritte aus, um das aktive CA-Zertifikat für Ihre Lightsail-Datenbank-Instance zu identifizieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das aktive CA-Zertifikat für Ihre verwaltete Datenbank zu identifizieren.

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    DatabaseNameErsetzen Sie den Befehl durch den Namen der Datenbank, die Sie ändern möchten, und durch den Namen, in DatabaseRegion dem sich AWS-Region die Datenbankinstanz befindet.

    Beispiel

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    Der Befehl gibt die ID des aktiven CA-Zertifikats für Ihre Datenbank zurück.

    Beispiel

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

Ändern der verwalteten Datenbank zur Verwendung des neuen Zertifizierungsstellenzertifikats

Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie eines der neuen CA-Zertifikate (rds-ca-rsa2048-g1rds-ca-rsa4096-g1, undrds-ca-ecc384-g1) verwendet.

Wichtig

Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das neue Zertifikat in Ihrer verwalteten Datenbank zu verwenden.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1

    DatabaseNameErsetzen Sie den Befehl durch den Namen der Datenbank, die Sie ändern möchten, und durch den Namen, in DatabaseRegion dem sich AWS-Region die Datenbankinstanz befindet.

    Beispiel

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den --apply-immediately Parameter am Ende des Befehls hinzufügen.

Ändern der verwalteten Datenbank zur Verwendung des alten Zertifizierungsstellenzertifikats

Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie das alte CA-Zertifikat () rds-ca-2019 verwendet. Tun Sie dies nur, wenn Sie ein kritisches Problem mit einem der neuen Zertifikate (rds-ca-rsa2048-g1rds-ca-rsa4096-g1, undrds-ca-ecc384-g1) haben und das alte Zertifikat vorübergehend rückgängig machen müssen.

Wichtig

Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das rds-ca-2019 in der verwalteten Datenbank zu verwenden.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019

    DatabaseNameErsetzen Sie den Befehl durch den Namen der Datenbank, die Sie ändern möchten, und durch den Namen, in DatabaseRegion dem sich AWS-Region die Datenbankinstanz befindet.

    Beispiel

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019

    Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den --apply-immediately Parameter am Ende des Befehls hinzufügen.