Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rotation de votre certificat SSL/TLS
Les certificats de l'autorité de certification Amazon RDS rds-ca-2019 sont configurés pour expirer en août 2024. Si vous utilisez ou prévoyez d'utiliser le protocole SSL (Secure Sockets Layer) ou le protocole Transport Layer Security (TLS) avec vérification des certificats pour vous connecter à vos instances de base de données RDS ou à vos clusters de base de données multi-AZ, pensez à utiliser l'un des nouveaux certificats CA rds-ca-rsa 2048-g1, 4096-g1 ou 384-g1. rds-ca-rsa rds-ca-ecc Si vous n'utilisez pas actuellement SSL/TLS avec la vérification du certificat, il se peut que vous ayez encore un certificat CA expiré et que vous deviez le mettre à jour vers un nouveau certificat CA si vous prévoyez d'utiliser SSL/TLS avec la vérification du certificat pour vous connecter à vos bases de données RDS.
Suivez ces instructions pour effectuer vos mises à jour. Avant de mettre à jour vos instances de base de données ou vos clusters de base de données multi-AZ pour utiliser le nouveau certificat CA, assurez-vous de mettre à jour vos clients ou applications qui se connectent à vos bases de données RDS.
Amazon RDS fournit de nouveaux certificats CA dans le cadre des meilleures pratiques AWS de sécurité. Pour plus d'informations sur les nouveaux certificats et les AWS régions prises en charge, consultez.
Note
Le proxy les certificats du AWS Certificate Manager (ACM). Si vous utilisez un proxy RDS, lorsque vous faites pivoter votre certificat SSL/TLS, vous n'avez pas besoin de mettre à jour les applications qui utilisent des connexions au proxy RDS. Pour plus d’informations, consultez Utilisation de TLS/SSL avec RDS Proxy.
Note
Si vous utilisez une application Go version 1.15 avec une instance de base de données ou un cluster de base de données multi-AZ créé ou mis à jour vers le certificat rds-ca-2019 avant le 28 juillet 2020, vous devez à nouveau mettre à jour le certificat. Exécutez la modify-db-instance
commande pour une instance de base de données, ou la modify-db-cluster
commande pour un cluster de base de données multi-AZ, à l'aide du nouvel identifiant de certificat CA. Vous pouvez trouver les autorités de certification disponibles pour un moteur de base de données et une version de moteur de base de données spécifiques en utilisant la commande describe-db-engine-versions
.
Si vous avez créé votre base de données ou mis à jour son certificat après le 28 juillet 2020, aucune action n'est requise. Pour plus d'informations, consultez Go GitHub issue #39568
Rubriques
Mettre à jour votre certificat CA en modifiant votre instance ou cluster de base de données
L'exemple suivant met à jour votre certificat CA de rds-ca-2019 à 2048-g1. rds-ca-rsa Vous pouvez choisir un autre certificat. Pour plus d’informations, consultez Autorités de certification.
Pour mettre à jour votre certificat CA en modifiant votre instance ou cluster de base de données
-
Téléchargez le nouveau certificat SSL/TLS comme décrit dans la section .
-
Mettez à jour vos applications de sorte à utiliser le nouveau certificat SSL/TLS.
Les méthodes de mise à jour des applications pour les nouveaux certificats SSL/TLS dépendent de vos applications spécifiques. Faites-vous aider par vos développeurs d'applications pour la mise à jour des certificats SSL/TLS de vos applications.
Pour plus d'informations sur la vérification des connexions SSL/TLS et la mise à jour des applications pour chaque moteur de bases de données, veuillez consulter les rubriques suivantes :
Pour obtenir un exemple de script qui met à jour le magasin d'approbations d'un système d'exploitation Linux, consultez Exemple de script pour importer les certificats dans votre magasin d'approbations.
Note
L'ensemble de certificats contient des certificats pour le nouveau et l'ancien CA, ce qui signifie que vous pouvez mettre à niveau votre application en toute sécurité et conserver la connectivité pendant la période de transition. Si vous utilisez le AWS Database Migration Service pour migrer une base de données vers une instance de base de données ou un cluster , nous vous recommandons d'utiliser le bundle de certificats pour garantir la connectivité pendant la migration.
-
Modifiez l'instance de base de données ou le cluster de base de données multi-AZ pour faire passer l'autorité de certification de rds-ca-2019 à 2048-g1. rds-ca-rsa Pour vérifier si votre base de données doit être redémarrée pour mettre à jour les certificats CA, utilisez la describe-db-engine-versionscommande et cochez l'
SupportsCertificateRotationWithoutRestart
indicateur.Important
Si vous rencontrez des problèmes de connectivité après l'expiration du certificat, utilisez l'option Appliquer immédiatement en la spécifiant dans la console ou en spécifiant l'option
--apply-immediately
à l'aide d' AWS CLI. Par défaut, il est prévu que cette opération soit exécutée pendant votre prochaine fenêtre de maintenance.Pour définir un remplacement pour votre CA d'instance différent de l'autorité de certification RDS par défaut, utilisez la commande CLI modify-certificates.
Vous pouvez utiliser le AWS Management Console ou AWS CLI pour modifier le certificat CA de rds-ca-2019 à rds-ca-rsa2048-g1 pour une instance de base de données ou un cluster de base de données multi-AZ.
Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le volet de navigation, choisissez Databases, puis choisissez l'instance de base de données ou le cluster de base de données multi-AZ que vous souhaitez modifier.
-
Sélectionnez Modifier.
-
Dans la section Connectivité, choisissez rds-ca-rsa2048-g1.
-
Choisissez Continuer et vérifiez le récapitulatif des modifications.
-
Pour appliquer les modifications immédiatement, choisissez Appliquer immédiatement.
-
Sur la page de confirmation, examinez vos modifications. S'ils sont corrects, choisissez Modifier l'instance de base de données ou Modifier le cluster pour enregistrer vos modifications.
Important
Lorsque vous planifiez cette opération, assurez-vous d'avoir mis à jour votre magasin d'approbation côté client au préalable.
Ou choisissez Retour pour revoir vos modifications, ou choisissez Annuler pour les annuler.
Pour utiliser le pour AWS CLI faire passer l'autorité de certification de rds-ca-2019 à rds-ca-rsa2048-g1 pour une instance de base de données ou un cluster de base de données multi-AZ, appelez la commande or. modify-db-instancemodify-db-cluster Spécifiez l'identifiant de l'instance ou du cluster de base de données et l'--ca-certificate-identifier
option.
Utilisez le --apply-immediately
paramètre pour appliquer la mise à jour immédiatement. Par défaut, il est prévu que cette opération soit exécutée pendant votre prochaine fenêtre de maintenance.
Important
Lorsque vous planifiez cette opération, assurez-vous d'avoir mis à jour votre magasin d'approbation côté client au préalable.
Instance DB
L'exemple suivant modifie mydbinstance
en définissant le certificat CA surrds-ca-rsa2048-g1
.
Pour LinuxmacOS, ou Unix :
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --ca-certificate-identifier rds-ca-rsa2048-g1
Dans Windows :
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --ca-certificate-identifier rds-ca-rsa2048-g1
Note
Si votre instance nécessite un redémarrage, vous pouvez utiliser la commande modify-db-instanceCLI et spécifier l'--no-certificate-rotation-restart
option.
Cluster de bases de données multi-AZ
L'exemple suivant modifie mydbcluster
en définissant le certificat CA surrds-ca-rsa2048-g1
.
Pour LinuxmacOS, ou Unix :
aws rds modify-db-cluster \ --db-cluster-identifier
mydbcluster
\ --ca-certificate-identifier rds-ca-rsa2048-g1
Dans Windows :
aws rds modify-db-cluster ^ --db-cluster-identifier
mydbcluster
^ --ca-certificate-identifier rds-ca-rsa2048-g1
Mise à jour de votre certificat CA en appliquant la maintenance
Procédez comme suit pour mettre à jour votre certificat CA en appliquant la maintenance.
Pour mettre à jour votre certificat CA en appliquant la maintenance
Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/
. -
Dans le volet de navigation, sélectionnez Mise à jour du certificat.
La page Bases de données nécessitant une mise à jour de certificat apparaît.
Note
Cette page affiche uniquement les instances de base de données et les clusters actuels Région AWS. Si vous avez des bases de données dans plusieurs d'entre elles Région AWS, consultez cette page Région AWS pour voir toutes les instances de base de données dotées d'anciens certificats SSL/TLS.
-
Choisissez l'instance de base de données ou le cluster de base de données multi-AZ que vous souhaitez mettre à jour.
Vous pouvez planifier la rotation du certificat pour votre prochaine fenêtre de maintenance en choisissant Planification. Appliquez la rotation immédiatement en choisissant Appliquer maintenant.
Important
Si vous rencontrez des problèmes de connectivité après l'expiration du certificat, utilisez l'option Appliquer maintenant.
-
-
Si vous choisissez Planification, vous êtes invité à confirmer la rotation du certificat CA. Cette invite indique également la fenêtre planifiée pour votre mise à jour.
-
Si vous choisissez Appliquer maintenant, vous êtes invité à confirmer la rotation du certificat CA.
Important
Avant de planifier la rotation du certificat CA sur votre base de données, mettez à jour toutes les applications clientes qui utilisent SSL/TLS et le certificat de serveur pour se connecter. Ces mises à jour sont spécifiques à votre moteur de base de données. Après avoir mis à jour ces applications clientes, vous pouvez confirmer la rotation du certificat CA.
Pour continuer, cochez la case, puis cliquez sur Confirmation.
-
-
Répétez les étapes 3 et 4 pour chaque instance de base de données et cluster que vous souhaitez mettre à jour.
Rotation automatique du certificat de serveur
Si votre autorité de certification prend en charge la rotation automatique du certificat de serveur, RDS gère automatiquement la rotation du certificat de serveur de base de données. RDS utilise la même autorité de certification racine pour cette rotation automatique. Vous n'avez donc pas besoin de télécharger une nouvelle offre groupée d'autorités de certification. veuillez consulter Autorités de certification.
La rotation et la validité de votre certificat de serveur de base de données dépendent de votre moteur de base de données :
-
Si votre moteur de base de données prend en charge la rotation sans redémarrage, RDS effectue automatiquement la rotation du certificat de serveur de base de données sans que vous ayez à intervenir. RDS tente d'effectuer la rotation de votre certificat de serveur de base de données pendant la fenêtre de maintenance de votre choix, à la moitié de la durée de vie du certificat de serveur de base de données. Le nouveau certificat de serveur de base de données est valide pendant 12 mois.
-
Si votre moteur de base de données ne prend pas en charge la rotation sans redémarrage, RDS vous informe d'un événement de maintenance au moins 6 mois avant l'expiration du certificat de serveur de base de données. Le nouveau certificat de serveur de base de données est valide pendant 36 mois.
Utilisez la describe-db-engine-versionscommande et inspectez l'SupportsCertificateRotationWithoutRestart
indicateur pour déterminer si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage. Pour plus d’informations, consultez Configuration de l'autorité de certification pour votre base de données.
Exemple de script pour importer les certificats dans votre magasin d'approbations
Voici des exemples de scripts shell qui importent le lot de certificats dans un magasin d'approbations.
Chaque exemple de script shell utilise keytool, qui fait partie du kit de développement Java (JDK). Pour plus d'informations sur l'installation du JDK, veuillez consulter le Guide d'installation du JDK
Rubriques
Exemple de script d'importation de certificats sur Linux
Voici un exemple de scripting shell qui importe le lot de certificats vers un magasin d'approbations sur un système d'exploitation Linux.
mydir=tmp/certs if [ ! -e "${mydir}" ] then mkdir -p "${mydir}" fi truststore=${mydir}/rds-truststore.jks storepassword=changeit curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print') echo "Importing $alias" keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt rm $CERT done rm ${mydir}/global-bundle.pem echo "Trust store content is: " keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'` echo " Certificate ${alias} expires in '$expiry'" done
Exemple de script d'importation de certificats sur macOS
Voici un exemple de scripting shell qui importe le lot de certificats vers un magasin d'approbations sur macOS.
mydir=tmp/certs if [ ! -e "${mydir}" ] then mkdir -p "${mydir}" fi truststore=${mydir}/rds-truststore.jks storepassword=changeit curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca- for CERT in rds-ca-*; do alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print') echo "Importing $alias" keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt rm $CERT done rm ${mydir}/global-bundle.pem echo "Trust store content is: " keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias do expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'` echo " Certificate ${alias} expires in '$expiry'" done