Requisitos previos Identifique el certificado de CA activo para su base de datos gestionada Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo

Actualice la versión del certificado de CA para su base de datos de Lightsail

Amazon Lightsail ha publicado nuevos certificados de autoridad de certificación (CA) para conectarse a su base de datos gestionada mediante SSL/TLS. En esta guía se describe cómo actualizar al nuevo certificado de CA. Solo puede actualizar el certificado mediante la acción de la update-relational-databaseAPI. Los nuevos certificados se denominan rds-ca-rsa2048-g1rds-ca-rsa4096-g1, yrds-ca-ecc384-g1. El certificado anterior se denominards-ca-2019. Proporcionamos los certificados de CA como una práctica recomendada de AWS seguridad. Para obtener información sobre los certificados de CA de su base de datos gestionada y los compatibles Regiones de AWS, consulte Descargar un certificado SSL para su base de datos gestionada.

El certificado de CA anterior (rds-ca-2019) vence el 22 de agosto de 2024. Por lo tanto, le recomendamos que complete los pasos de esta guía tan pronto como sea posible para modificar la base de datos administrada para que utilice el nuevo certificado. Si sus aplicaciones no se conectan a la base de datos gestionada por Lightsail mediante SSL/TLS, no es necesario realizar ninguna acción. Si no se completan estos pasos, sus aplicaciones no podrán conectarse a la base de datos gestionada mediante SSL/TLS después del 22 de agosto de 2024.

Las nuevas bases de datos gestionadas que se creen después del 26 de enero de 2024 utilizarán el rds-ca-rsa2048-g1 certificado de forma predeterminada. Si desea modificar temporalmente las nuevas bases de datos administradas para que usen el certificado anterior (rds-ca-2019), puede hacerlo mediante el AWS Command Line Interface (AWS CLI). Cualquier base de datos gestionada creada antes del 26 de enero de 2024 utilizará el rds-ca-2019 certificado hasta que se actualice a los rds-ca-ecc384-g1 certificados rds-ca-rsa2048-g1rds-ca-rsa4096-g1, y.

nota

Pruebe los pasos de esta guía en un entorno de desarrollo o ensayo antes de usarlos en los entornos de producción.

Requisitos previos

En esta guía, lo utilizará AWS CloudShell para realizar la actualización. CloudShell es un shell preautenticado y basado en un navegador que puede iniciar directamente desde la consola Lightsail. Con él CloudShell, puede ejecutar comandos AWS Command Line Interface (AWS CLI) con el shell que prefiera, como el shell Bash o el shell Z. PowerShell Puede hacerlo sin necesidad de descargar ni instalar herramientas de línea de comandos. Para obtener más información sobre cómo configurar y usar CloudShell, consulte AWS CloudShell Lightsail.
Antes de completar los pasos siguientes, asegúrese de actualizar las aplicaciones de la base de datos para que utilicen el nuevo certificado SSL/TLS. Los métodos para actualizar aplicaciones para nuevos certificados SSL/TLS dependen de sus aplicaciones específicas. Trabaje con sus desarrolladores de aplicaciones para actualizar los certificados SSL/TLS para sus aplicaciones. Para obtener más información acerca de la actualización de aplicaciones para los nuevos certificados SSL/TLS, consulte Actualización de aplicaciones para la conexión a las instancias de base de datos de MySQL con los nuevos certificados SSL/TLS o Actualización de aplicaciones para la conexión a las instancias de base de datos de PostgreSQL con los nuevos certificados SSL/TLS en la Guía del usuario de Amazon Relational Database Service.

Identifique el certificado de CA activo para su base de datos gestionada

Complete los siguientes pasos para identificar el certificado de CA activo para su instancia de base de datos de Lightsail.

Abra una ventana de terminal o línea de comandos. AWS CloudShell
Introduzca el siguiente comando para identificar el certificado de CA activo de la base de datos gestionada.
```
aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"
```
En el comando, DatabaseNamesustitúyalo por el nombre de la base de datos que deseas modificar y DatabaseRegionpor el nombre en el Región de AWS que se encuentra la instancia de la base de datos.

Ejemplo
```
aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"
```
El comando devolverá el ID del certificado de CA activo de la base de datos.

Ejemplo
```
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
```

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar uno de los nuevos certificados de CA rds-ca-rsa2048-g1 (rds-ca-rsa4096-g1, y). rds-ca-ecc384-g1

Abra una ventana de terminal o línea de comandos. AWS CloudShell
Introduzca el siguiente comando para usar el nuevo certificado en la base de datos gestionada.
```
aws lightsail update-relational-database --relational-database-name DatabaseName --ca-certificate-identifier rds-ca-rsa2048-g1
```
En el comando, DatabaseNamesustitúyalo por el nombre de la base de datos que desee modificar.

Ejemplo
```
aws lightsail update-relational-database --relational-database-name Database-1 --ca-certificate-identifier rds-ca-rsa2048-g1
```
El certificado de CA utilizado por la base de datos gestionada se actualizará durante el siguiente período de mantenimiento de la base de datos o inmediatamente si se añade el --apply-immediately parámetro al final del comando.

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para que utilice el antiguo certificado de CA (). rds-ca-2019 Hágalo solo si tiene un problema grave con uno de los certificados nuevos (rds-ca-rsa2048-g1rds-ca-rsa4096-g1, yrds-ca-ecc384-g1) y necesita revertir temporalmente el anterior.

Abre una ventana de AWS CloudShellterminal o línea de comandos.
Escriba el siguiente comando para utilizar rds-ca-2019 en la base de datos administrada.
```
aws lightsail update-relational-database --relational-database-name DatabaseName --ca-certificate-identifier rds-ca-2019
```
En el comando, DatabaseNamesustitúyalo por el nombre de la base de datos que desee modificar.

Ejemplo
```
aws lightsail update-relational-database --relational-database-name Database-1 --ca-certificate-identifier rds-ca-2019
```
El certificado de CA utilizado por la base de datos gestionada se actualizará durante el siguiente período de mantenimiento de la base de datos o inmediatamente si se añade el --apply-immediately parámetro al final del comando.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descarga del certificado SSL

Periodos de mantenimiento y copia de seguridad