Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren Sie die CA-Zertifikatsversion für Ihre Lightsail-Datenbank
Amazon Lightsail hat neue Certificate Authority (CA) -Zertifikate veröffentlicht, mit denen Sie mit/eine Verbindung zu Ihrer verwalteten Datenbank herstellen könnenSSL. TLS In diesem Handbuch wird beschrieben, wie Sie ein Upgrade auf das neue CA-Zertifikat durchführen. Sie können das Zertifikat nur mithilfe der update-relational-databaseAPIAktion aktualisieren. Die neuen Zertifikate werden als rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, und bezeichnetrds-ca-ecc384-g1
. Das alte Zertifikat wird als bezeichnetrds-ca-2019
. Wir stellen die CA-Zertifikate als bewährte AWS Sicherheitsmethode zur Verfügung. Informationen zu den CA-Zertifikaten für Ihre verwaltete Datenbank und den unterstützten AWS-Regionen finden Sie unter SSLZertifikat für Ihre verwaltete Datenbank herunterladen.
Das alte CA-Zertifikat (rds-ca-2019
) läuft am 22. August 2024 ab. Daher empfehlen wir dringend, die Schritte in diesem Handbuch so schnell wie möglich durchzuführen, um Ihre verwaltete Datenbank so zu ändern, dass das neue Zertifikat verwendet wird. Wenn Ihre Anwendungen mitSSL/keine Verbindung zu Ihrer von Lightsail verwalteten Datenbank herstellenTLS, ist keine Aktion erforderlich. Wenn diese Schritte nicht abgeschlossen sind, können Ihre Anwendungen TLS nach dem 22. August 2024 keine Verbindung zu Ihrer verwalteten Datenbank überSSL/herstellen.
Neue verwaltete Datenbanken, die nach dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-rsa2048-g1
Zertifikat standardmäßig. Wenn Sie neue verwaltete Datenbanken vorübergehend so ändern möchten, dass sie das alte Zertifikat (rds-ca-2019
) verwenden, können Sie dies mit AWS Command Line Interface (AWS CLI) tun. Alle verwalteten Datenbanken, die vor dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-2019
Zertifikat, bis Sie sie auf die rds-ca-ecc384-g1
Zertifikate rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, und aktualisieren.
Anmerkung
Testen Sie die Schritte in diesem Handbuch in einer Entwicklungs- oder Staging.Umgebung, bevor Sie diese in Produktionsumgebungen verwenden.
Voraussetzungen
-
Aktualisieren Sie Ihre Datenbank-Client-Anwendungen so, dass sie das neue SSL TLS /-Zertifikat verwenden, bevor Sie die Schritte in diesem Verfahren abschließen.
Die Methoden zur Aktualisierung von Anwendungen für neue SSL TLS /-Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL TLS /-Zertifikate für Ihre Anwendungen zu aktualisieren. Weitere Informationen zum Aktualisieren von Anwendungen für neue SSL TLS /-Zertifikate finden Sie unter Updating Applications to My SQL DB Instances Using New SSL TLS /Certificates oder Updating Applications to Connect to SQL Postgre-DB Instances Using NewSSL//TLSCertificates im Amazon Relational Database Service User Guide.
-
In diesem Handbuch verwenden Sie, AWS CloudShell um das Upgrade durchzuführen. CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der Lightsail-Konsole aus starten können. Mit CloudShell können Sie AWS Command Line Interface (AWS CLI) -Befehle mit Ihrer bevorzugten Shell wie Bash oder Z-Shell ausführen. PowerShell Sie können dies tun, ohne Befehlszeilentools herunterladen oder installieren zu müssen. Weitere Informationen zur Einrichtung und Verwendung finden Sie CloudShell unter AWS CloudShell Lightsail.
Identifizieren Sie das aktive CA-Zertifikat für Ihre verwaltete Datenbank
Führen Sie die folgenden Schritte aus, um das aktive CA-Zertifikat für Ihre Lightsail-Datenbank-Instance zu identifizieren.
-
Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.
-
Geben Sie den folgenden Befehl ein, um das aktive CA-Zertifikat für Ihre verwaltete Datenbank zu identifizieren.
aws lightsail get-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
| grep "caCertificateIdentifier"Ersetzen Sie im Befehl
DatabaseName
durch den Namen der Datenbank, die Sie ändern möchten, undDatabaseRegion
mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.Beispiel
aws lightsail get-relational-database --relational-database-name
Database-1
--regionus-east-1
| grep "caCertificateIdentifier"Der Befehl gibt die ID des aktiven CA-Zertifikats für Ihre Datenbank zurück.
Beispiel
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
Ändern der verwalteten Datenbank zur Verwendung des neuen Zertifizierungsstellenzertifikats
Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie eines der neuen CA-Zertifikate (rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, undrds-ca-ecc384-g1
) verwendet.
Wichtig
Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.
-
Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.
-
Geben Sie den folgenden Befehl ein, um das neue Zertifikat in Ihrer verwalteten Datenbank zu verwenden.
aws lightsail update-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
--ca-certificate-identifier rds-ca-rsa2048-g1Ersetzen Sie im Befehl
DatabaseName
durch den Namen der Datenbank, die Sie ändern möchten, undDatabaseRegion
mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.Beispiel
aws lightsail update-relational-database --relational-database-name
Database-1
--regionus-east-1
--ca-certificate-identifier rds-ca-rsa2048-g1Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den
--apply-immediately
Parameter am Ende des Befehls hinzufügen.
Ändern der verwalteten Datenbank zur Verwendung des alten Zertifizierungsstellenzertifikats
Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie das alte CA-Zertifikat () rds-ca-2019
verwendet. Tun Sie dies nur, wenn Sie ein kritisches Problem mit einem der neuen Zertifikate (rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, undrds-ca-ecc384-g1
) haben und das alte Zertifikat vorübergehend rückgängig machen müssen.
Wichtig
Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.
-
Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.
-
Geben Sie den folgenden Befehl ein, um das
rds-ca-2019
in der verwalteten Datenbank zu verwenden.aws lightsail update-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
--ca-certificate-identifier rds-ca-2019Ersetzen Sie im Befehl
DatabaseName
durch den Namen der Datenbank, die Sie ändern möchten, undDatabaseRegion
mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.Beispiel
aws lightsail update-relational-database --relational-database-name
Database-1
--regionus-east-1
--ca-certificate-identifier rds-ca-2019Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den
--apply-immediately
Parameter am Ende des Befehls hinzufügen.