Umstellung auf ACM-Zertifikate für SSL-Verbindungen - Amazon Redshift

Umstellung auf ACM-Zertifikate für SSL-Verbindungen

Amazon Redshift ersetzt die SSL-Zertifikate Ihrer Cluster durch von AWS Certificate Manager (ACM) ausgegebene Zertifikate. ACM ist eine vertrauenswürdige öffentliche Zertifizierungsstelle, der die meisten Systeme vertrauen. Sie müssen möglicherweise Ihre aktuellen vertrauenswürdigen CA-Stammzertifikate aktualisieren, um weiterhin mit SSL Verbindungen zu Ihren Clustern herstellen zu können.

Diese Änderung betrifft Sie nur, wenn alle folgenden Bedingungen zutreffen:

  • Die SQL-Clients bzw. -Anwendungen stellen Verbindungen zu Amazon Redshift mithilfe von SSL her, wenn die Verbindungsoption sslMode auf die Konfigurationsoptionen require, verify-ca oder verify-full festgelegt ist.

  • Sie verwenden nicht die Amazon-Redshift-ODBC- oder -JDBC-Treiber oder Sie verwenden Amazon-Redshift-Treiber älter als ODBC-Version 1.3.7.1000 oder JDBC-Version 1.2.8.1005.

Falls diese Änderung Sie in kommerziellen Amazon-Redshift-Regionen betrifft, müssen Sie Ihre aktuellen vertrauenswürdigen CA-Stammzertifikate vor dem 23. Oktober 2017 aktualisieren. Amazon Redshift führt die Umstellung Ihrer Cluster auf die Nutzung von ACM-Zertifikaten im Zeitraum von heute bis zum 23. Oktober 2017 durch. Diese Änderung sollte nur geringe oder keine Auswirkungen auf die Leistung und Verfügbarkeit Ihres Clusters haben.

Wenn sich diese Änderung auf AWS GovCloud (US) (USA)-Regionen auswirkt, müssen Sie Ihre aktuellen Stammzertifikate vor dem 1. April 2020 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die sich über SSL-verschlüsselte Verbindungen mit Amazon-Redshift-Clustern verbinden, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL-Clients und -Anwendungen zu aktualisieren, um ein aktuelles Zertifikatpaket zu verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.

Wichtig

In den China-Regionen ersetzt Amazon Redshift am 5. Januar 2021 die SSL-Zertifikate auf Ihren Clustern durch von AWS Certificate Manager (ACM) ausgestellte Zertifikaten. Wenn sich diese Änderung auf die Region China (Peking) oder China (Ningxia) auswirkt, müssen Sie Ihre aktuellen CA-Stammzertifikate vor dem 5. Januar 2021 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die sich über SSL-verschlüsselte Verbindungen mit Amazon-Redshift-Clustern verbinden, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL-Clients und -Anwendungen zu aktualisieren, um ein aktuelles Zertifikatpaket zu verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.

Verwendung der aktuellen Amazon-Redshift-ODBC- bzw. -JDBC-Treiber

Bevorzugt verwenden Sie die aktuellen Amazon Redshift-ODBC- bzw. -JDBC-Treiber. Amazon Redshift-Treiber ab ODBC-Version 1.3.7.1000 und JDBC-Version 1.2.8.1005 verwalten die Umstellung von einem selbstsignierten Amazon Redshift-Zertifikat auf ein ACM-Zertifikat automatisch. Die neuesten Treiber finden Sie unter Konfigurierung einer ODBC-Verbindung oder Konfigurieren einer Verbindung für JDBC-Treiberversion 2.1 für Amazon Redshift.

Falls Sie die aktuellen Amazon Redshift-JDBC-Treiber verwenden, sollten Sie die Option -Djavax.net.ssl.trustStore in den JVM-Optionen nicht verwenden. Falls Sie -Djavax.net.ssl.trustStore verwenden müssen, importieren Sie das Redshift-Zertifizierungsstellen-Bundle in den TrustStore, auf den es verweist. Informationen zum Download finden Sie unter Verbindung über SSL. Weitere Informationen finden Sie unter Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore.

Verwendung älterer Amazon-Redshift-ODBC- bzw. -JDBC-Treiber

  • Falls Ihr ODBC-DSN mit SSLCertPath konfiguriert ist, überschreiben Sie die Zertifikatsdatei im angegebenen Verzeichnis.

  • Falls SSLCertPath nicht konfiguriert ist, überschreiben Sie die Zertifikatdatei root.crt im Treiber-DLL-Verzeichnis.

Wenn Sie Amazon-Redshift-JDBC-Treiber verwenden müssen, die älter als Version 1.2.8.1005 sind, führen Sie einen der folgenden Schritte aus:

Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore

Sie können mithilfe von redshift-keytool.jar CA-Zertifikate aus dem Amazon-Redshift-Zertifizierungsstellen-Bundle in einen Java-TrustStore oder Ihren privaten TrustStore importieren.

So importieren Sie das Amazon-Redshift-Zertifizierungsstellen-Bundle in einen TrustStore

  1. Laden Sie redshift-keytool.jar herunter.

  2. Führen Sie eine der folgenden Aufgaben aus:

    • Führen Sie den folgenden Befehl aus, um das Amazon-Redshift-Zertifizierungsstellen-Bundle in einen Java-TrustStore zu importieren:

      java -jar redshift-keytool.jar -s
    • Führen Sie den folgenden Befehl aus, um das Amazon-Redshift-Zertifizierungsstellen-Bundle in Ihren privaten TrustStore zu importieren:

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

Verwendung anderer SSL-Verbindungstypen

Befolgen Sie die Anweisungen in diesem Abschnitt, wenn Sie eine der folgenden Möglichkeiten zur Verbindungsherstellung nutzen:

  • Open-Source-ODBC-Treiber

  • Open-Source-JDBC-Treiber

  • Die psql-Befehlszeilenschnittstelle

  • Sprachbindungen auf Grundlage von libpq, z. B. psycopg2 (Python) und ruby-pg (Ruby)

Verwenden Sie ACM-Zertifikate wie folgt mit anderen SSL-Verbindungstypen:

  1. Laden Sie das Amazon-Redshift-Zertifizierungsstellen-Bundle herunter. Informationen zum Download finden Sie unter Verbindung über SSL.

  2. Platzieren Sie die Zertifikate des Bundle in der Datei root.crt.

    • Unter Linux- und macOS X-Betriebssystemen ist diese Datei ~/.postgresql/root.crt.

    • Unter Microsoft Windows ist diese Datei %APPDATA%\postgresql\root.crt.