Verwenden der neuesten Amazon Redshift ODBC oder Treiber JDBC Verwenden früherer Versionen von Amazon Redshift ODBC oder Treibern JDBC Verwenden Sie andere SSL Verbindungstypen

Umstellung auf ACM Zertifikate für Verbindungen SSL

Amazon Redshift ersetzt die SSL Zertifikate auf Ihren Clustern durch AWS Certificate Manager (ACM) ausgestellte Zertifikate. ACMist eine vertrauenswürdige öffentliche Zertifizierungsstelle (CA), der die meisten aktuellen Systeme vertrauen. Möglicherweise müssen Sie Ihre aktuellen Trust-Root-CA-Zertifikate aktualisieren, um weiterhin eine Verbindung zu Ihren Clustern herstellen zu könnenSSL.

Diese Änderung betrifft Sie nur, wenn alle folgenden Bedingungen zutreffen:

Ihre SQL Clients oder Anwendungen stellen eine Verbindung zu Amazon Redshift Redshift-Clustern her, SSL wobei die sslMode Verbindungsoption auf requireverify-ca, oder eingestellt verify-full ist.
Sie verwenden weder Amazon Redshift noch JDBC Treiber, ODBC oder Sie verwenden Amazon Redshift Redshift-Treiber vor ODBC Version 1.3.7.1000 oder Version 1.2.8.1005. JDBC

Falls diese Änderung Sie in kommerziellen Amazon-Redshift-Regionen betrifft, müssen Sie Ihre aktuellen vertrauenswürdigen CA-Stammzertifikate vor dem 23. Oktober 2017 aktualisieren. Amazon Redshift wird Ihre Cluster bis zum 23. Oktober 2017 auf die Verwendung von ACM Zertifikaten umstellen. Diese Änderung sollte nur geringe oder keine Auswirkungen auf die Leistung und Verfügbarkeit Ihres Clusters haben.

Wenn diese Änderung Sie in Regionen AWS GovCloud (US) (USA) betrifft, müssen Sie Ihre aktuellen Trust-Root-CA-Zertifikate vor dem 1. April 2020 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die über SSL verschlüsselte Verbindungen eine Verbindung zu Amazon Redshift Redshift-Clustern herstellen, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL Clients und Anwendungen so zu aktualisieren, dass sie ein aktualisiertes Zertifikatspaket verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.

Wichtig

In den Regionen Chinas ersetzt Amazon Redshift am 5. Januar 2021 die SSL Zertifikate auf Ihren Clustern durch AWS Certificate Manager (ACM) ausgestellte Zertifikate. Wenn sich diese Änderung auf die Region China (Peking) oder China (Ningxia) auswirkt, müssen Sie Ihre aktuellen CA-Stammzertifikate vor dem 5. Januar 2021 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die über SSL verschlüsselte Verbindungen eine Verbindung zu Amazon Redshift Redshift-Clustern herstellen, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL Clients und Anwendungen so zu aktualisieren, dass sie ein aktualisiertes Zertifikatspaket verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.

Verwenden der neuesten Amazon Redshift ODBC oder Treiber JDBC
Verwenden früherer Versionen von Amazon Redshift ODBC oder Treibern JDBC
Verwenden Sie andere SSL Verbindungstypen

Verwenden der neuesten Amazon Redshift ODBC oder Treiber JDBC

Die bevorzugte Methode ist die Verwendung der neuesten Amazon Redshift ODBC - oder JDBC Treiber. Amazon Redshift Redshift-Treiber ab ODBC Version 1.3.7.1000 und JDBC Version 1.2.8.1005 verwalten automatisch den Übergang von einem selbstsignierten Amazon Redshift Redshift-Zertifikat zu einem Zertifikat. ACM Die neuesten Treiber finden Sie unter Konfiguration einer Verbindung für JDBC Treiberversion 2.1 für Amazon Redshift.

Wenn Sie den neuesten Amazon Redshift JDBC Redshift-Treiber verwenden, sollten Sie ihn am besten nicht -Djavax.net.ssl.trustStore in JVM Optionen verwenden. Falls Sie -Djavax.net.ssl.trustStore verwenden müssen, importieren Sie das Redshift-Zertifizierungsstellen-Bundle in den TrustStore, auf den es verweist. Informationen zum Download finden Sie unter SSL. Weitere Informationen finden Sie unter Importieren des Amazon Redshift Redshift-Zertifizierungsstellenpakets in ein TrustStore.

Verwenden früherer Versionen von Amazon Redshift ODBC oder Treibern JDBC

Wenn Ihr mit konfiguriert ODBC DSN istSSLCertPath, überschreiben Sie die Zertifikatsdatei im angegebenen Pfad.
Wenn nicht SSLCertPath gesetzt, überschreiben Sie die root.crt im DLL Treiberverzeichnis angegebene Zertifikatsdatei.

Wenn Sie einen Amazon Redshift JDBC Redshift-Treiber vor Version 1.2.8.1005 verwenden müssen, gehen Sie wie folgt vor:

Wenn Ihre JDBC Verbindungszeichenfolge die Option verwendet, entfernen Sie die sslCert Option. sslCert Importieren Sie dann das Redshift Certificate Authority Bundle in Ihr Java TrustStore. Informationen zum Download finden Sie unter SSL. Weitere Informationen finden Sie unter Importieren des Amazon Redshift Redshift-Zertifizierungsstellenpakets in ein TrustStore.
Wenn Sie die Option -Djavax.net.ssl.trustStore für die Java-Befehlszeile verwenden, entfernen Sie es falls möglich aus der Befehlszeile. Importieren Sie dann das Redshift Certificate Authority Bundle in Ihr Java TrustStore. Informationen zum Download finden Sie unter SSL. Weitere Informationen finden Sie unter Importieren des Amazon Redshift Redshift-Zertifizierungsstellenpakets in ein TrustStore.

Importieren des Amazon Redshift Redshift-Zertifizierungsstellenpakets in ein TrustStore

Sie können verwendenredshift-keytool.jar, um CA-Zertifikate aus dem Amazon Redshift Certificate Authority Bundle in einen Java TrustStore - oder Ihren privaten Truststore zu importieren.

Um das Amazon Redshift Certificate Authority Bundle in ein TrustStore

Laden Sie redshift-keytool.jar herunter.
Führen Sie eine der folgenden Aktionen aus:
- Führen Sie den folgenden Befehl aus, um das Amazon Redshift Certificate Authority Bundle in Java TrustStore zu importieren.
```
java -jar redshift-keytool.jar -s
```
- Führen Sie den folgenden Befehl aus, um das Amazon Redshift Certificate Authority Bundle in Ihr privates TrustStore Paket zu importieren:
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Verwenden Sie andere SSL Verbindungstypen

Befolgen Sie die Anweisungen in diesem Abschnitt, wenn Sie eine der folgenden Möglichkeiten zur Verbindungsherstellung nutzen:

ODBCOpen-Source-Treiber
JDBCOpen-Source-Treiber
Die Amazon Redshift RSQL Redshift-Befehlszeilenschnittstelle
Sprachbindungen auf Grundlage von libpq, z. B. psycopg2 (Python) und ruby-pg (Ruby)

So verwenden Sie ACM Zertifikate mit anderen SSL Verbindungstypen:

Laden Sie das Amazon-Redshift-Zertifizierungsstellen-Bundle herunter. Informationen zum Download finden Sie unter SSL.
Platzieren Sie die Zertifikate des Bundle in der Datei root.crt.
- Unter Linux- und macOS X-Betriebssystemen ist diese Datei ~/.postgresql/root.crt.
- Unter Microsoft Windows ist diese Datei %APPDATA%\postgresql\root.crt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurieren von Sicherheitsoptionen für Verbindungen

Herstellen von Verbindungen von Client-Tools aus und mit Code