Umstellung auf ACM-Zertifikate für SSL-Verbindungen
Amazon Redshift ersetzt die SSL-Zertifikate Ihrer Cluster durch von AWS Certificate Manager (ACM)
Diese Änderung betrifft Sie nur, wenn alle folgenden Bedingungen zutreffen:
-
Die SQL-Clients bzw. -Anwendungen stellen Verbindungen zu Amazon Redshift mithilfe von SSL her, wenn die Verbindungsoption
sslMode
auf die Konfigurationsoptionenrequire
,verify-ca
oderverify-full
festgelegt ist. -
Sie verwenden nicht die Amazon-Redshift-ODBC- oder -JDBC-Treiber oder Sie verwenden Amazon-Redshift-Treiber älter als ODBC-Version 1.3.7.1000 oder JDBC-Version 1.2.8.1005.
Falls diese Änderung Sie in kommerziellen Amazon-Redshift-Regionen betrifft, müssen Sie Ihre aktuellen vertrauenswürdigen CA-Stammzertifikate vor dem 23. Oktober 2017 aktualisieren. Amazon Redshift führt die Umstellung Ihrer Cluster auf die Nutzung von ACM-Zertifikaten im Zeitraum von heute bis zum 23. Oktober 2017 durch. Diese Änderung sollte nur geringe oder keine Auswirkungen auf die Leistung und Verfügbarkeit Ihres Clusters haben.
Wenn sich diese Änderung auf AWS GovCloud (US) (USA)-Regionen auswirkt, müssen Sie Ihre aktuellen Stammzertifikate vor dem 1. April 2020 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die sich über SSL-verschlüsselte Verbindungen mit Amazon-Redshift-Clustern verbinden, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL-Clients und -Anwendungen zu aktualisieren, um ein aktuelles Zertifikatpaket zu verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.
In den China-Regionen ersetzt Amazon Redshift am 5. Januar 2021 die SSL-Zertifikate auf Ihren Clustern durch von AWS Certificate Manager (ACM) ausgestellte Zertifikaten. Wenn sich diese Änderung auf die Region China (Peking) oder China (Ningxia) auswirkt, müssen Sie Ihre aktuellen CA-Stammzertifikate vor dem 5. Januar 2021 aktualisieren, um Serviceunterbrechungen zu vermeiden. Ab diesem Datum benötigen Clients, die sich über SSL-verschlüsselte Verbindungen mit Amazon-Redshift-Clustern verbinden, eine zusätzliche vertrauenswürdige Zertifizierungsstelle (CA). Clients verwenden vertrauenswürdige Zertifizierungsstellen, um die Identität des Amazon-Redshift-Clusters zu bestätigen, wenn sie eine Verbindung zu ihm herstellen. Ihre Aktion ist erforderlich, um Ihre SQL-Clients und -Anwendungen zu aktualisieren, um ein aktuelles Zertifikatpaket zu verwenden, das die neue vertrauenswürdige Zertifizierungsstelle enthält.
Verwendung der aktuellen Amazon-Redshift-ODBC- bzw. -JDBC-Treiber
Bevorzugt verwenden Sie die aktuellen Amazon Redshift-ODBC- bzw. -JDBC-Treiber. Amazon Redshift-Treiber ab ODBC-Version 1.3.7.1000 und JDBC-Version 1.2.8.1005 verwalten die Umstellung von einem selbstsignierten Amazon Redshift-Zertifikat auf ein ACM-Zertifikat automatisch. Die neuesten Treiber finden Sie unter Konfigurierung einer ODBC-Verbindung oder Konfigurieren einer Verbindung für JDBC-Treiberversion 2.1 für Amazon Redshift.
Falls Sie die aktuellen Amazon Redshift-JDBC-Treiber verwenden, sollten Sie die Option -Djavax.net.ssl.trustStore
in den JVM-Optionen nicht verwenden. Falls Sie -Djavax.net.ssl.trustStore
verwenden müssen, importieren Sie das Redshift-Zertifizierungsstellen-Bundle in den TrustStore, auf den es verweist. Informationen zum Download finden Sie unter Verbindung über SSL. Weitere Informationen finden Sie unter Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore.
Verwendung älterer Amazon-Redshift-ODBC- bzw. -JDBC-Treiber
-
Falls Ihr ODBC-DSN mit
SSLCertPath
konfiguriert ist, überschreiben Sie die Zertifikatsdatei im angegebenen Verzeichnis. -
Falls
SSLCertPath
nicht konfiguriert ist, überschreiben Sie die Zertifikatdateiroot.crt
im Treiber-DLL-Verzeichnis.
Wenn Sie Amazon-Redshift-JDBC-Treiber verwenden müssen, die älter als Version 1.2.8.1005 sind, führen Sie einen der folgenden Schritte aus:
-
Entfernen Sie die Option
sslCert
, falls Ihre JDBC-Verbindungszeichenfolge die OptionsslCert
verwendet. Importieren Sie dann das Redshift-Zertifizierungsstellen-Bundle in Ihren Java-TrustStore. Informationen zum Download finden Sie unter Verbindung über SSL. Weitere Informationen finden Sie unter Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore. -
Wenn Sie die Option
-Djavax.net.ssl.trustStore
für die Java-Befehlszeile verwenden, entfernen Sie es falls möglich aus der Befehlszeile. Importieren Sie dann das Redshift-Zertifizierungsstellen-Bundle in Ihren Java-TrustStore. Informationen zum Download finden Sie unter Verbindung über SSL. Weitere Informationen finden Sie unter Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore.
Importieren des Amazon-Redshift-Zertifizierungsstellen-Bundles in einen TrustStore
Sie können mithilfe von redshift-keytool.jar
CA-Zertifikate aus dem Amazon-Redshift-Zertifizierungsstellen-Bundle in einen Java-TrustStore oder Ihren privaten TrustStore importieren.
So importieren Sie das Amazon-Redshift-Zertifizierungsstellen-Bundle in einen TrustStore
-
Laden Sie redshift-keytool.jar
herunter. -
Führen Sie eine der folgenden Aufgaben aus:
-
Führen Sie den folgenden Befehl aus, um das Amazon-Redshift-Zertifizierungsstellen-Bundle in einen Java-TrustStore zu importieren:
java -jar redshift-keytool.jar -s
-
Führen Sie den folgenden Befehl aus, um das Amazon-Redshift-Zertifizierungsstellen-Bundle in Ihren privaten TrustStore zu importieren:
java -jar redshift-keytool.jar -k
<your_private_trust_store>
-p<keystore_password>
-
Verwendung anderer SSL-Verbindungstypen
Befolgen Sie die Anweisungen in diesem Abschnitt, wenn Sie eine der folgenden Möglichkeiten zur Verbindungsherstellung nutzen:
-
Open-Source-ODBC-Treiber
-
Open-Source-JDBC-Treiber
-
Die psql-Befehlszeilenschnittstelle
-
Sprachbindungen auf Grundlage von libpq, z. B. psycopg2 (Python) und ruby-pg (Ruby)
Verwenden Sie ACM-Zertifikate wie folgt mit anderen SSL-Verbindungstypen:
-
Laden Sie das Amazon-Redshift-Zertifizierungsstellen-Bundle herunter. Informationen zum Download finden Sie unter Verbindung über SSL.
-
Platzieren Sie die Zertifikate des Bundle in der Datei
root.crt
.-
Unter Linux- und macOS X-Betriebssystemen ist diese Datei
~/.postgresql/root.crt
. -
Unter Microsoft Windows ist diese Datei
%APPDATA%\postgresql\root.crt
.
-