Actualización de los certificados de Amazon DocumentDB TLS - Amazon DocumentDB
Actualización de la aplicación y del clúster de Amazon DocumentDBResolución de problemasPreguntas frecuentes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de los certificados de Amazon DocumentDB TLS

El certificado de la autoridad de certificación (CA) para los clústeres de Amazon DocumentDB se actualizará a partir de agosto de 2024. Si utiliza clústeres de Amazon DocumentDB con Transport Layer Security (TLS) activado (la configuración predeterminada) y no ha rotado los certificados de servidor y aplicación de cliente, es necesario seguir los siguientes pasos para mitigar los problemas de conectividad entre la aplicación y los clústeres de Amazon DocumentDB.

Los certificados de CA y del servidor se actualizaron de conformidad con las prácticas recomendadas de mantenimiento y seguridad estándar para Amazon DocumentDB. Las aplicaciones cliente deben añadir los nuevos certificados de CA a sus almacenes de confianza y las instancias de Amazon DocumentDB existentes deben actualizarse para utilizar los nuevos certificados de CA antes de esta fecha de vencimiento.

Actualización de la aplicación y del clúster de Amazon DocumentDB

Siga los pasos indicados en esta sección para actualizar el grupo de certificados de CA de la aplicación (Paso 1) y los certificados de servidor del clúster (Paso 2). Antes de aplicar los cambios a los entornos de producción, recomendamos encarecidamente probar estos pasos en un entorno de desarrollo o ensayo.

nota

Debe completar los pasos 1 y 2 en cada uno de los casos Región de AWS en los que tenga clústeres de Amazon DocumentDB.

Paso 1: Descargar el nuevo certificado de CA y actualizar la aplicación

Descargue el nuevo certificado de CA y actualice la aplicación para usar el nuevo certificado de CA para crear TLS conexiones a Amazon DocumentDB. Descargue el nuevo paquete de certificados de CA desde https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem. Esta operación descarga un archivo llamado global-bundle.pem.

nota

Si va a acceder al almacén de claves que contiene el certificado de CA anterior (rds-ca-2019-root.pem) y los nuevos certificados de CA (rds-ca-rsa2048-g1,,rds-ca-ecc384-g1)rds-ca-rsa4096-g1, compruebe que el almacén de claves lo selecciona. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

A continuación, actualice las aplicaciones de tal forma que utilicen el nuevo paquete de certificados. El nuevo paquete de CA contiene tanto el certificado de CA anterior (rds-ca-2019) como los certificados de CA nuevos (rds-ca-rsa2048-g1, 4096-g1, 384-g1). rds-ca-rsa rds-ca-ecc Al tener ambos certificados de CA en el nuevo paquete de CA puede actualizar la aplicación y el clúster en dos pasos.

En el caso de las aplicaciones Java, debe crear un nuevo almacén de confianza con el nuevo certificado de CA. Para obtener instrucciones, consulte la pestaña Java del Conexión con Enabled TLS tema.

Para comprobar que la aplicación utiliza el último grupo de certificados de CA, consulte ¿Cómo puedo estar seguro de que estoy usando el paquete de CA más reciente?. Si ya está utilizando el último grupo de certificados de CA en la aplicación, puede saltar al paso 2.

Para obtener ejemplos de uso de un grupo de CA con su aplicación, consulte Cifrado de datos en tránsito y Conexión con Enabled TLS.

nota

Actualmente, MongoDB Go Driver 1.2.1 sólo acepta un certificado de servidor de CA en sslcertificateauthorityfile. Consulte Conexión con Enabled TLS para conectarse a Amazon DocumentDB mediante Go cuando TLS esté activado.

Paso 2: Actualizar el certificado de servidor

Después de que la aplicación se haya actualizado con el fin de utilizar el nuevo paquete de CA, el siguiente paso consiste en actualizar el certificado de servidor al modificar cada instancia en un clúster de Amazon DocumentDB. Para modificar instancias para utilizar el nuevo certificado de servidor, consulte las instrucciones siguientes.

Amazon DocumentDB proporciona lo siguiente CAs para firmar el certificado del servidor de base de datos de una instancia de base de datos:

  • rds-ca-ecc384-g1: utiliza una autoridad de certificación con un algoritmo de clave privada ECC 384 y un algoritmo de firma. SHA384 Esta CA admite la rotación automática de certificados de servidor. Esto solo se admite en Amazon DocumentDB 4.0 y 5.0.

  • rds-ca-rsa2048-g1: utiliza una autoridad de certificación con el algoritmo de clave privada y el algoritmo de firma RSA 2048 en la mayoría de las regiones. SHA256 AWS Esta CA admite la rotación automática de certificados de servidor.

  • rds-ca-rsa4096-g1: utiliza una autoridad de certificación con un algoritmo de clave privada y un algoritmo de firma RSA 4096. SHA384 Esta CA admite la rotación automática de certificados de servidor.

nota

Si utiliza el AWS CLI, puede ver la validez de las autoridades de certificación enumeradas anteriormente mediante el uso de describe-certificates.

Estos certificados de CA se incluyen en el paquete de certificados regionales y globales. Cuando utiliza la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o 384-g1 con una base de datos, Amazon DocumentDB rds-ca-ecc administra el certificado del servidor de base de datos de la base de datos. Amazon DocumentDB rota el certificado del servidor de base de datos automáticamente antes de que caduque.

nota

Amazon DocumentDB no requiere un reinicio para la rotación de certificados si el clúster se ejecuta en las siguientes versiones de parches de motor:

  • Amazon DocumentDB 3.6:1.0.208662 o superior

  • Amazon DocumentDB 4.0:2.0.10179 o superior

  • Amazon DocumentDB 5.0:3.0.4780 o superior

Puede determinar la versión actual del parche del motor Amazon DocumentDB ejecutando el siguiente comando:. db.runCommand({getEngineVersion: 1})

Antes de actualizar el certificado del servidor, asegúrese de haberlo completadoPaso 1.

Using the AWS Management Console

Complete los pasos siguientes para identificar y rotar el certificado de servidor antiguo para las instancias de Amazon DocumentDB existentes mediante la AWS Management Console.

  1. Inicie sesión en y abra la AWS Management Console consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

  2. En la lista de regiones de la esquina superior derecha de la pantalla, elija la región Región de AWS en la que residen sus clústeres.

  3. En el panel de navegación en el lado izquierdo de la consola, en DAX, elija Clústeres.

  4. Es posible que necesite identificar qué instancias siguen en el antiguo certificado de servidor (rds-ca-2019). Puede hacerlo en la columna Autoridad de certificación, que se encuentra en el extremo derecho de la tabla Clústeres.

  5. En la tabla Clústeres, verá la columna Identificador del clúster en el extremo izquierdo. Las instancias se muestran en clústeres, de forma similar a la siguiente captura de pantalla.

    Imagen del cuadro de navegación de clústeres que muestra una lista de los enlaces de clústeres existentes y sus enlaces de instancia correspondientes.

  6. Marque la casilla de verificación situada a la izquierda de la instancia de su interés.

  7. Elija Actions (Acciones) y después Modify (Modificar).

  8. En Certificate authority (Entidad de certificación), seleccione el nuevo certificado de servidor (rds-ca-rsa2048-g1) para esta instancia.

  9. Puede ver un resumen de los cambios en la página siguiente. Tenga en cuenta que se muestra una alerta adicional para recordarle que debe asegurarse de que su aplicación utilice el paquete más reciente de certificados de CA antes de modificar la instancia, con el fin de evitar que se interrumpa la conectividad.

  10. Puede optar por aplicar la modificación durante el próximo periodo de mantenimiento o bien aplicarla de inmediato. Si su intención es modificar el certificado del servidor inmediatamente, utilice la opción Apply immediately (Aplicar inmediatamente).

  11. Seleccione Modify instance (Modificar instancia) para completar la actualización.

Using the AWS CLI

Complete los pasos siguientes para identificar y rotar el certificado de servidor antiguo para las instancias de Amazon DocumentDB existentes mediante la AWS CLI.

  1. Para modificar las instancias de inmediato, ejecute el siguiente comando para cada instancia del clúster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Para modificar las instancias de los clústeres de tal forma que usen el nuevo certificado de CA durante el próximo periodo de mantenimiento del clúster, ejecute el siguiente comando para cada instancia del clúster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Resolución de problemas

Si tiene problemas para conectarse al clúster como parte de la rotación de certificados, le sugerimos lo siguiente:

Preguntas frecuentes

Las siguientes son respuestas a algunas preguntas frecuentes acerca de TLS los certificados.

¿Qué hago si tengo preguntas o problemas?

Si tiene preguntas o problemas, póngase en contacto con AWS Support.

¿Cómo sé si lo estoy utilizando TLS para conectarme a mi clúster de Amazon DocumentDB?

Para determinar si su clúster se está TLS utilizando, examine el tls parámetro del grupo de parámetros del clúster. Si el tls parámetro está establecido enenabled, estás usando el TLS certificado para conectarte a tu clúster. Para obtener más información, consulte Administración de los grupos de parámetros de clúster de Amazon DocumentDB.

¿Por qué hay que actualizar los certificados de CA y de servidor?

Los certificados de CA y de servidor de Amazon DocumentDB se están actualizando de conformidad con las prácticas recomendadas de mantenimiento y seguridad estándar para Amazon DocumentDB. Los certificados de CA y de servidor actuales caducan a partir de agosto de 2024.

¿Qué sucede si no realizo ninguna acción antes de la fecha de caducidad?

Si lo utiliza TLS para conectarse a su clúster de Amazon DocumentDB y no realiza el cambio de certificado antes del las aplicaciones que se conecten a través de él ya no TLS podrán comunicarse con el clúster de Amazon DocumentDB.

Amazon DocumentDB no rotará los certificados de la base de datos automáticamente antes de la fecha de caducidad. Debe actualizar las aplicaciones y los clústeres para utilizar los nuevos certificados de CA antes o después de la fecha de caducidad.

¿Cómo puedo saber cuáles de mis instancias de Amazon DocumentDB usan el certificado de servidor antiguo/nuevo?

Para identificar las instancias de Amazon DocumentDB que aún utilizan el certificado de servidor anterior, puede utilizar Amazon AWS Management Console DocumentDB o el. AWS CLI

Identificación de las instancias de los clústeres que utilizan el certificado anterior

  1. Inicie sesión en y abra la AWS Management Console consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

  2. En la lista de regiones de la esquina superior derecha de la pantalla, elija la región Región de AWS en la que residen las instancias.

  3. En el panel de navegación en el lado izquierdo de la consola, en DAX, elija Clústeres.

  4. En la columna Autoridad de certificación (cerca del extremo derecho de la tabla), se muestran las instancias que todavía contienen el certificado de servidor antiguo (rds-ca-2019) y el certificado de servidor nuevo (rds-ca-rsa2048-g1).

Para identificar las instancias de los clústeres que utilizan el certificado de servidor anterior, utilice el comando describe-db-clusters con lo siguiente.

aws docdb describe-db-instances \
    --filters Name=engine,Values=docdb \
    --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

¿Cómo puedo modificar instancias individuales de mi clúster de Amazon DocumentDB para actualizar el certificado de servidor?

Recomendamos actualizar al mismo tiempo los certificados de servidor de todas las instancias de un clúster determinado. Para modificar las instancias del clúster, puede utilizar la consola o la AWS CLI.

nota

Antes de actualizar el certificado de servidor, asegúrese de haber completado el paso 1.

  1. Inicie sesión en y abra la AWS Management Console consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

  2. En la lista de regiones de la esquina superior derecha de la pantalla, elija la región Región de AWS en la que residen sus clústeres.

  3. En el panel de navegación en el lado izquierdo de la consola, en DAX, elija Clústeres.

  4. En la columna Autoridad de certificación (cerca del extremo derecho de la tabla), se muestran las instancias que todavía contienen el certificado de servidor antiguo (rds-ca-2019).

  5. En la tabla Clústeres, en Identificador del clúster, seleccione una instancia para modificarla.

  6. Elija Actions (Acciones) y después Modify (Modificar).

  7. En Certificate authority (Entidad de certificación), seleccione el nuevo certificado de servidor (rds-ca-rsa2048-g1) para esta instancia.

  8. Puede ver un resumen de los cambios en la página siguiente. Tenga en cuenta que se muestra una alerta adicional para recordarle que debe asegurarse de que su aplicación utilice el paquete más reciente de certificados de CA antes de modificar la instancia, con el fin de evitar que se interrumpa la conectividad.

  9. Puede optar por aplicar la modificación durante el próximo periodo de mantenimiento o bien aplicarla de inmediato.

  10. Seleccione Modify instance (Modificar instancia) para completar la actualización.

Complete los pasos siguientes para identificar y rotar el certificado de servidor antiguo para las instancias de Amazon DocumentDB existentes mediante la AWS CLI.

  1. Para modificar las instancias de inmediato, ejecute el siguiente comando para cada instancia del clúster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Para modificar las instancias de los clústeres de tal forma que usen el nuevo certificado de CA durante el próximo periodo de mantenimiento del clúster, ejecute el siguiente comando para cada instancia del clúster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

¿Qué sucede si añado una nueva instancia a un clúster existente?

Todas las instancias nuevas que se crean utilizan el certificado de servidor anterior y requieren TLS conexiones mediante el certificado de CA anterior. Todas las instancias nuevas de Amazon DocumentDB que se creen después del 25 de enero de 2024 utilizarán de forma predeterminada el nuevo certificado rds-ca-rsa 2048-g1.

¿Qué sucede si se sustituye una instancia o se produce una conmutación por error en el clúster?

Si se sustituye una instancia en el clúster, la nueva instancia que se crea continúa usando el mismo certificado de servidor que se estaba utilizando anteriormente. Se recomienda actualizar los certificados de servidor para todas las instancias al mismo tiempo. Si se produce una conmutación por error en el clúster, se usará el certificado de servidor del nuevo nodo principal.

Si no lo uso TLS para conectarme a mi clúster, ¿debo actualizar cada una de mis instancias?

Recomendamos encarecidamente habilitarloTLS. En el caso de que no lo habiliteTLS, le recomendamos que rote los certificados de sus instancias de Amazon DocumentDB en caso de que vaya a utilizarlos para conectarse TLS a sus clústeres en el futuro. Si no piensa utilizarlos nunca para conectarse TLS a sus clústeres de Amazon DocumentDB, no es necesario realizar ninguna acción.

Si no lo estoy utilizando TLS para conectarme a mi clúster, pero planeo hacerlo en el futuro, ¿qué debo hacer?

Si creó un clúster antes de enero de 2024, siga el paso 1 y el paso 2 de la sección anterior para asegurarse de que la aplicación utiliza la agrupación de CA actualizada y de que cada instancia de Amazon DocumentDB utiliza el certificado de servidor más reciente. Si crea un clúster después del 25 de enero de 2024, éste ya tendrá el certificado de servidor más reciente (rds-ca-rsa2048-g1). Para comprobar que la aplicación utiliza el grupo de CA más reciente, consulte Si no lo uso TLS para conectarme a mi clúster, ¿debo actualizar cada una de mis instancias?

¿Puede prorrogarse el plazo más allá de agosto de 2024?

Si sus solicitudes se conectan a través deTLS, la fecha límite no se puede extender.

¿Cómo puedo estar seguro de que estoy usando el paquete de CA más reciente?

Para comprobar que tiene el paquete más reciente, use el siguiente comando. Para ejecutar este comando, debe tener Java instalado y las herramientas de Java deben estar en la PATH variable de su shell. Para obtener más información, consulte Uso de Java.

keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b

¿Por qué aparece "RDS" en el nombre del paquete de CA?

Para determinadas funciones de administración, como la administración de certificados, Amazon DocumentDB utiliza una tecnología operativa que se comparte con Amazon Relational Database Service (Amazon). RDS

¿Cuándo caduca el nuevo certificado?

El nuevo certificado del servidor caducará (por lo general) de la siguiente manera:

  • rds-ca-rsa2048-g1: caduca en 2016

  • rds-ca-rsa4096-g1: caduca en 2121

  • rds-ca-ecc384-g1: caduca en 2121

¿Qué tipo de errores veré si no tomo medidas antes de que caduque el certificado?

Los mensajes de error variarán en función del controlador. Por lo general, verás errores de validación de certificados que contienen la cadena «el certificado ha caducado».

Si he aplicado el nuevo certificado de servidor, ¿puedo revertirlo al certificado de servidor antiguo?

Si necesita revertir una instancia al certificado de servidor antiguo, recomendamos que haga lo mismo para todas las instancias del clúster. Puedes revertir el certificado de servidor de cada instancia de un clúster mediante el AWS Management Console o el AWS CLI.

  1. Inicie sesión en y abra la AWS Management Console consola de Amazon DocumentDB en https://console.aws.amazon.com /docdb.

  2. En la lista de regiones de la esquina superior derecha de la pantalla, elija la región Región de AWS en la que residen sus clústeres.

  3. En el panel de navegación en el lado izquierdo de la consola, en DAX, elija Clústeres.

  4. En la tabla Clústeres, en Identificador del clúster, seleccione una instancia para modificarla. Elija Actions (Acciones) y después Modify (Modificar).

  5. En Certificate authority (Entidad de certificación), puede seleccionar el certificado de servidor antiguo (rds-ca-2019).

  6. Elija Continue (Continuar) para ver un resumen de las modificaciones.

  7. En la página que aparece, puede elegir programar las modificaciones para que se apliquen en el próximo periodo de mantenimiento o aplicar las modificaciones inmediatamente. Realice la selección y elija Modify instance (Modificar instancia).

    nota

    Si opta por aplicar las modificaciones inmediatamente, también se aplican los cambios de la cola de modificaciones pendientes. Si alguna de las modificaciones pendientes requiere un tiempo de inactividad, elegir esta opción puede provocar un tiempo de inactividad inesperado.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

Si elige --no-apply-immediately, los cambios se aplicarán durante el próximo periodo de mantenimiento del clúster.

Si restauro a partir de una instantánea o de una restauración puntual, ¿tendrá el nuevo certificado de servidor?

Si restaura una instantánea o realiza una point-in-time restauración después de agosto de 2024, el nuevo clúster que se cree utilizará el nuevo certificado de CA.

¿Qué sucede si tengo problemas para conectarme directamente a mi clúster de Amazon DocumentDB desde cualquier versión de Mac OS?

Mac OS ha actualizado los requisitos para certificados de confianza. Ahora los certificados de confianza deben tener una validez de 397 días o menos (consulte https://support.apple.com/en-us/HT211025).

nota

Esta restricción se observa en las versiones más recientes de Mac OS.

Los certificados de instancia de Amazon DocumentDB son válidos durante más de cuatro años, más que el máximo de Mac OS. Para conectarse directamente a un clúster de Amazon DocumentDB desde un ordenador con Mac OS, debe permitir certificados no válidos al crear la TLS conexión. En este caso, los certificados no válidos significan que el período de validez es superior a 397 días. Debe comprender los riesgos antes de permitir certificados no válidos al conectarse al clúster de Amazon DocumentDB.

Para conectarse a un clúster de Amazon DocumentDB desde Mac OS mediante el AWS CLI, utilice el tlsAllowInvalidCertificates parámetro.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates