Aktualisieren Sie die CA-Zertifikatsversion für Ihre Lightsail-Datenbank - Amazon Lightsail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie die CA-Zertifikatsversion für Ihre Lightsail-Datenbank

Amazon Lightsail hat neue Certificate Authority (CA) -Zertifikate veröffentlicht, mit denen Sie mit/eine Verbindung zu Ihrer verwalteten Datenbank herstellen könnenSSL. TLS In diesem Handbuch wird beschrieben, wie Sie ein Upgrade auf das neue CA-Zertifikat durchführen. Sie können das Zertifikat nur mithilfe der update-relational-databaseAPIAktion aktualisieren. Die neuen Zertifikate werden als rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und bezeichnetrds-ca-ecc384-g1. Das alte Zertifikat wird als bezeichnetrds-ca-2019. Wir stellen die CA-Zertifikate als bewährte AWS Sicherheitsmethode zur Verfügung. Informationen zu den CA-Zertifikaten für Ihre verwaltete Datenbank und den unterstützten AWS-Regionen finden Sie unter SSLZertifikat für Ihre verwaltete Datenbank herunterladen.

Das alte CA-Zertifikat (rds-ca-2019) läuft am 22. August 2024 ab. Daher empfehlen wir dringend, die Schritte in diesem Handbuch so schnell wie möglich durchzuführen, um Ihre verwaltete Datenbank so zu ändern, dass das neue Zertifikat verwendet wird. Wenn Ihre Anwendungen mitSSL/keine Verbindung zu Ihrer von Lightsail verwalteten Datenbank herstellenTLS, ist keine Aktion erforderlich. Wenn diese Schritte nicht abgeschlossen sind, können Ihre Anwendungen TLS nach dem 22. August 2024 keine Verbindung zu Ihrer verwalteten Datenbank überSSL/herstellen.

Neue verwaltete Datenbanken, die nach dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-rsa2048-g1 Zertifikat standardmäßig. Wenn Sie neue verwaltete Datenbanken vorübergehend so ändern möchten, dass sie das alte Zertifikat (rds-ca-2019) verwenden, können Sie dies mit AWS Command Line Interface (AWS CLI) tun. Alle verwalteten Datenbanken, die vor dem 26. Januar 2024 erstellt wurden, verwenden das rds-ca-2019 Zertifikat, bis Sie sie auf die rds-ca-ecc384-g1 Zertifikate rds-ca-rsa2048-g1rds-ca-rsa4096-g1, und aktualisieren.

Anmerkung

Testen Sie die Schritte in diesem Handbuch in einer Entwicklungs- oder Staging.Umgebung, bevor Sie diese in Produktionsumgebungen verwenden.

Voraussetzungen

  • Aktualisieren Sie Ihre Datenbank-Client-Anwendungen so, dass sie das neue SSL TLS /-Zertifikat verwenden, bevor Sie die Schritte in diesem Verfahren abschließen.

    Die Methoden zur Aktualisierung von Anwendungen für neue SSL TLS /-Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL TLS /-Zertifikate für Ihre Anwendungen zu aktualisieren. Weitere Informationen zum Aktualisieren von Anwendungen für neue SSL TLS /-Zertifikate finden Sie unter Updating Applications to My SQL DB Instances Using New SSL TLS /Certificates oder Updating Applications to Connect to SQL Postgre-DB Instances Using NewSSL//TLSCertificates im Amazon Relational Database Service User Guide.

  • In diesem Handbuch verwenden Sie, AWS CloudShell um das Upgrade durchzuführen. CloudShell ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der Lightsail-Konsole aus starten können. Mit CloudShell können Sie AWS Command Line Interface (AWS CLI) -Befehle mit Ihrer bevorzugten Shell wie Bash oder Z-Shell ausführen. PowerShell Sie können dies tun, ohne Befehlszeilentools herunterladen oder installieren zu müssen. Weitere Informationen zur Einrichtung und Verwendung finden Sie CloudShell unter AWS CloudShell Lightsail.

Identifizieren Sie das aktive CA-Zertifikat für Ihre verwaltete Datenbank

Führen Sie die folgenden Schritte aus, um das aktive CA-Zertifikat für Ihre Lightsail-Datenbank-Instance zu identifizieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das aktive CA-Zertifikat für Ihre verwaltete Datenbank zu identifizieren.

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    Ersetzen Sie im Befehl DatabaseName durch den Namen der Datenbank, die Sie ändern möchten, und DatabaseRegion mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.

    Beispiel

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    Der Befehl gibt die ID des aktiven CA-Zertifikats für Ihre Datenbank zurück.

    Beispiel

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

Ändern der verwalteten Datenbank zur Verwendung des neuen Zertifizierungsstellenzertifikats

Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie eines der neuen CA-Zertifikate (rds-ca-rsa2048-g1rds-ca-rsa4096-g1, undrds-ca-ecc384-g1) verwendet.

Wichtig

Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das neue Zertifikat in Ihrer verwalteten Datenbank zu verwenden.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1

    Ersetzen Sie im Befehl DatabaseName durch den Namen der Datenbank, die Sie ändern möchten, und DatabaseRegion mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.

    Beispiel

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den --apply-immediately Parameter am Ende des Befehls hinzufügen.

Ändern der verwalteten Datenbank zur Verwendung des alten Zertifizierungsstellenzertifikats

Gehen Sie wie folgt vor, um Ihre verwaltete Datenbank in Lightsail so zu ändern, dass sie das alte CA-Zertifikat () rds-ca-2019 verwendet. Tun Sie dies nur, wenn Sie ein kritisches Problem mit einem der neuen Zertifikate (rds-ca-rsa2048-g1rds-ca-rsa4096-g1, undrds-ca-ecc384-g1) haben und das alte Zertifikat vorübergehend rückgängig machen müssen.

Wichtig

Aktualisieren Sie alle Client-Anwendungen, die das CA-Zertifikat verwenden, bevor Sie das CA-Zertifikat in Ihrer Datenbank aktualisieren.

  1. Öffnen Sie ein Terminal AWS CloudShell- oder Befehlszeilenfenster.

  2. Geben Sie den folgenden Befehl ein, um das rds-ca-2019 in der verwalteten Datenbank zu verwenden.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019

    Ersetzen Sie im Befehl DatabaseName durch den Namen der Datenbank, die Sie ändern möchten, und DatabaseRegion mit dem AWS-Region , in dem sich die Datenbankinstanz befindet.

    Beispiel

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019

    Das von Ihrer verwalteten Datenbank verwendete CA-Zertifikat wird während des nächsten Wartungsfensters Ihrer Datenbank aktualisiert oder sofort, wenn Sie den --apply-immediately Parameter am Ende des Befehls hinzufügen.