Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualice la versión del certificado de CA para su base de datos de Lightsail
Amazon Lightsail ha publicado nuevos certificados de autoridad de certificación (CA) para conectarse a su base de datos gestionada mediante SSL/TLS. En esta guía se describe cómo actualizar al nuevo certificado de CA. Solo puede actualizar el certificado mediante la acción de la update-relational-databaseAPI. Los nuevos certificados se denominan rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, yrds-ca-ecc384-g1
. El certificado anterior se denominards-ca-2019
. Proporcionamos los certificados de CA como una práctica recomendada de AWS seguridad. Para obtener información sobre los certificados de CA de su base de datos gestionada y los compatibles Regiones de AWS, consulte Descargar un certificado SSL para su base de datos gestionada.
El certificado de CA anterior (rds-ca-2019
) vence el 22 de agosto de 2024. Por lo tanto, le recomendamos que complete los pasos de esta guía tan pronto como sea posible para modificar la base de datos administrada para que utilice el nuevo certificado. Si sus aplicaciones no se conectan a la base de datos gestionada por Lightsail mediante SSL/TLS, no es necesario realizar ninguna acción. Si no se completan estos pasos, sus aplicaciones no podrán conectarse a la base de datos gestionada mediante SSL/TLS después del 22 de agosto de 2024.
Las nuevas bases de datos gestionadas que se creen después del 26 de enero de 2024 utilizarán el rds-ca-rsa2048-g1
certificado de forma predeterminada. Si desea modificar temporalmente las nuevas bases de datos administradas para que usen el certificado anterior (rds-ca-2019
), puede hacerlo mediante el AWS Command Line Interface (AWS CLI). Cualquier base de datos gestionada creada antes del 26 de enero de 2024 utilizará el rds-ca-2019
certificado hasta que se actualice a los rds-ca-ecc384-g1
certificados rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, y.
nota
Pruebe los pasos de esta guía en un entorno de desarrollo o ensayo antes de usarlos en los entornos de producción.
Requisitos previos
-
En esta guía, lo utilizará AWS CloudShell para realizar la actualización. CloudShell es un shell preautenticado y basado en un navegador que puede iniciar directamente desde la consola Lightsail. Con él CloudShell, puede ejecutar comandos AWS Command Line Interface (AWS CLI) con el shell que prefiera, como el shell Bash o el shell Z. PowerShell Puede hacerlo sin necesidad de descargar ni instalar herramientas de línea de comandos. Para obtener más información sobre cómo configurar y usar CloudShell, consulte AWS CloudShell Lightsail.
-
Antes de completar los pasos siguientes, asegúrese de actualizar las aplicaciones de la base de datos para que utilicen el nuevo certificado SSL/TLS. Los métodos para actualizar aplicaciones para nuevos certificados SSL/TLS dependen de sus aplicaciones específicas. Trabaje con sus desarrolladores de aplicaciones para actualizar los certificados SSL/TLS para sus aplicaciones. Para obtener más información acerca de la actualización de aplicaciones para los nuevos certificados SSL/TLS, consulte Actualización de aplicaciones para la conexión a las instancias de base de datos de MySQL con los nuevos certificados SSL/TLS o Actualización de aplicaciones para la conexión a las instancias de base de datos de PostgreSQL con los nuevos certificados SSL/TLS en la Guía del usuario de Amazon Relational Database Service.
Identifique el certificado de CA activo para su base de datos gestionada
Complete los siguientes pasos para identificar el certificado de CA activo para su instancia de base de datos de Lightsail.
-
Abra una ventana de terminal o línea de comandos. AWS CloudShell
-
Introduzca el siguiente comando para identificar el certificado de CA activo de la base de datos gestionada.
aws lightsail get-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
| grep "caCertificateIdentifier"En el comando,
DatabaseName
sustitúyalo por el nombre de la base de datos que deseas modificar yDatabaseRegion
por el nombre en el Región de AWS que se encuentra la instancia de la base de datos.Ejemplo
aws lightsail get-relational-database --relational-database-name
Database-1
--regionus-east-1
| grep "caCertificateIdentifier"El comando devolverá el ID del certificado de CA activo de la base de datos.
Ejemplo
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo
Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar uno de los nuevos certificados de CA rds-ca-rsa2048-g1
(rds-ca-rsa4096-g1
, y). rds-ca-ecc384-g1
-
Abra una ventana de terminal o línea de comandos. AWS CloudShell
-
Introduzca el siguiente comando para usar el nuevo certificado en la base de datos gestionada.
aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-rsa2048-g1En el comando,
DatabaseName
sustitúyalo por el nombre de la base de datos que desee modificar.Ejemplo
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-rsa2048-g1El certificado de CA utilizado por la base de datos gestionada se actualizará durante el siguiente período de mantenimiento de la base de datos o inmediatamente si se añade el
--apply-immediately
parámetro al final del comando.
Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo
Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para que utilice el antiguo certificado de CA (). rds-ca-2019
Hágalo solo si tiene un problema grave con uno de los certificados nuevos (rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
, yrds-ca-ecc384-g1
) y necesita revertir temporalmente el anterior.
-
Abre una ventana de AWS CloudShellterminal o línea de comandos.
-
Escriba el siguiente comando para utilizar
rds-ca-2019
en la base de datos administrada.aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-2019En el comando,
DatabaseName
sustitúyalo por el nombre de la base de datos que desee modificar.Ejemplo
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-2019El certificado de CA utilizado por la base de datos gestionada se actualizará durante el siguiente período de mantenimiento de la base de datos o inmediatamente si se añade el
--apply-immediately
parámetro al final del comando.