Aggiornamento dei certificati TLS di Amazon DocumentDB - Amazon DocumentDB
Aggiornamento dell'applicazione e del cluster Amazon DocumentDBRisoluzione dei problemiDomande frequenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento dei certificati TLS di Amazon DocumentDB

Il certificato di autorità di certificazione (CA) per i cluster Amazon DocumentDB verrà aggiornato a partire da agosto 2024. Se utilizzi cluster Amazon DocumentDB con Transport Layer Security (TLS) abilitato (impostazione predefinita) e non hai ruotato i certificati dell'applicazione client e del server, sono necessari i seguenti passaggi per mitigare i problemi di connettività tra l'applicazione e i cluster Amazon DocumentDB.

I certificati CA e server sono stati aggiornati come parte delle best practice standard di manutenzione e sicurezza per Amazon DocumentDB. Le applicazioni client devono aggiungere i nuovi certificati CA ai propri trust store e le istanze Amazon DocumentDB esistenti devono essere aggiornate per utilizzare i nuovi certificati CA prima di questa data di scadenza.

Aggiornamento dell'applicazione e del cluster Amazon DocumentDB

Attenersi alla procedura descritta in questa sezione per aggiornare il bundle di certificati CA dell'applicazione (Fase 1) e i certificati server del cluster (Fase 2). Prima di applicare le modifiche agli ambienti di produzione, si consiglia di testare questi passaggi in un ambiente di sviluppo o di gestione temporanea.

Nota

È necessario completare i passaggi 1 e 2 Regione AWS in ognuno dei quali sono presenti cluster Amazon DocumentDB.

Fase 1: Scaricare il nuovo certificato CA e aggiornare l'applicazione

Scarica il nuovo certificato CA e aggiorna la tua applicazione per utilizzare il nuovo certificato CA per creare connessioni TLS ad Amazon DocumentDB. Scaricare il nuovo bundle di certificati CA da https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem. Questa operazione scarica un file denominato global-bundle.pem.

Nota

Se accedi al keystore che contiene sia il vecchio certificato CA (rds-ca-2019-root.pem) che i nuovi certificati CA (rds-ca-rsa2048-g1, rds-ca-rsa4096-g1), verifica che il keystore selezioni. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

Successivamente, aggiornare le applicazioni per utilizzare il nuovo bundle di certificati. Il nuovo pacchetto CA contiene sia il vecchio certificato CA (rds-ca-2019) che i nuovi certificati CA (2048-g1, 4096-g1). rds-ca-rsa rds-ca-rsa La presenza di entrambi i certificati CA nel nuovo bundle CA consente di aggiornare l'applicazione e il cluster in due fasi.

Per verificare che l'applicazione utilizzi il bundle di certificati CA più recente, consulta Come posso essere sicuro di utilizzare il bundle CA più recente?. Se già utilizzi il bundle di certificati CA più recente nell'applicazione, puoi passare alla fase 2.

Per esempi di utilizzo di un bundle CA con l'applicazione, consulta Crittografia dei dati in transito e Connessione con TLS abilitato.

Nota

Attualmente, MongoDB Go Driver 1.2.1 accetta solo un certificato del server emesso da una CA in sslcertificateauthorityfile. Consulta Connessione con TLS abilitato per la connessione ad Amazon DocumentDB utilizzando Go quando TLS è abilitato.

Fase 2: Aggiornare il certificato del server

Dopo che l'applicazione è stata aggiornata per utilizzare il nuovo pacchetto CA, il passaggio successivo consiste nell'aggiornare il certificato del server modificando ogni istanza in un cluster Amazon DocumentDB. Per modificare le istanze per utilizzare il nuovo certificato server, vedere le istruzioni riportate di seguito.

Amazon DocumentDB fornisce le seguenti CA per firmare il certificato del server DB per un'istanza DB:

  • rds-ca-rsa2048-g1: utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma SHA256 nella maggior parte delle regioni. AWS supporta la rotazione automatica dei certificati del server.

  • rds-ca-rsa4096-g1: utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma SHA384. supporta la rotazione automatica dei certificati del server.

Nota

Se si utilizza la AWS CLI, è possibile visualizzare le validità delle autorità di certificazione elencate in precedenza utilizzando describe-certificates.

Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando utilizzi la CA rds-ca-rsa 2048-g1 o rds-ca-rsa 4096-g1 con un database, Amazon DocumentDB gestisce il certificato del server DB sul database. Amazon DocumentDB ruota automaticamente il certificato del server DB prima della scadenza (potrebbe essere necessario il riavvio).

Nota

L'aggiornamento delle istanze richiede un riavvio, che potrebbe causare interruzioni del servizio. Prima di aggiornare il certificato del server, assicurati di aver completato la fase 1.

Using the AWS Management Console

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS Management Console

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com/docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella Regione AWS in cui risiedono i tuoi cluster.

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. Potrebbe essere necessario identificare quali istanze sono ancora presenti nel vecchio certificato del server ()rds-ca-2019. Puoi farlo nella colonna Autorità di certificazione che si trova all'estrema destra della tabella Cluster.

  5. Nella tabella Cluster, vedrai la colonna Cluster identifier all'estrema sinistra. Le tue istanze sono elencate in cluster, in modo simile alla schermata seguente.

  6. Seleziona la casella a sinistra dell'istanza che ti interessa.

  7. Scegliere Actions (Operazioni), quindi Modify (Modifica).

  8. In Certificate authority (Autorità di certificazione), selezionare il nuovo certificato del server (ad esempio rds-ca-rsa2048-g1) per questa istanza.

  9. È possibile visualizzare un riepilogo delle modifiche nella pagina successiva. Considera che è presente un avviso aggiuntivo per ricordare di assicurarsi che l'applicazione stia utilizzando il bundle CA più recente del certificato prima di modificare l'istanza per evitare di causare un'interruzione della connettività.

  10. Puoi scegliere di applicare la modifica durante la prossima finestra di manutenzione o applicarla immediatamente. Se si intende modificare immediatamente il certificato del server, utilizzare l'opzione Apply Immediately (Applica immediatamente) .

  11. Scegliere Modify instance (Modifica istanza) per completare l'aggiornamento.

Using the AWS CLI

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS CLI

  1. Per modificare immediatamente le istanze, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Per modificare le istanze del cluster in modo da utilizzare il nuovo certificato CA durante la successiva finestra di manutenzione del cluster, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Risoluzione dei problemi

Se si verificano problemi di connessione al cluster durante la rotazione dei certificati, si consiglia di eseguire quanto segue:

Domande frequenti

Di seguito sono riportate le risposte ad alcune domande comuni sui certificati TLS.

Cosa succede se ho domande o problemi?

Se avete domande o problemi, contattateci AWS Support.

Come faccio a sapere se sto usando TLS per connettermi al mio cluster Amazon DocumentDB?

È possibile stabilire se il cluster utilizza TLS esaminando il parametro tls per il gruppo di parametri cluster del cluster. Se il parametro tls è impostato su enabled, si utilizza il certificato TLS per connettersi al cluster. Per ulteriori informazioni, consulta Gestione dei gruppi di parametri del cluster Amazon DocumentDB.

Perché si aggiornano i certificati CA e server?

I certificati CA e server di Amazon DocumentDB vengono aggiornati come parte delle best practice standard di manutenzione e sicurezza per Amazon DocumentDB. Gli attuali certificati CA e server scadono a partire da agosto 2024.

Cosa succede se non intraprendo alcuna azione entro la data di scadenza?

Se utilizzi TLS per connetterti al tuo cluster Amazon DocumentDB e non apporti la modifica del certificato le applicazioni che si connettono tramite TLS non saranno più in grado di comunicare con il cluster Amazon DocumentDB.

Amazon DocumentDB non ruoterà automaticamente i certificati del database prima della scadenza. È necessario aggiornare le applicazioni e i cluster per utilizzare i nuovi certificati CA prima o dopo la data di scadenza.

Come faccio a sapere quali delle mie istanze Amazon DocumentDB utilizzano il vecchio/nuovo certificato del server?

Per identificare le istanze di Amazon DocumentDB che utilizzano ancora il vecchio certificato del server, puoi utilizzare Amazon DocumentDB o il. AWS Management Console AWS CLI

Per identificare le istanze nei cluster che utilizzano il certificato precedente

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com/docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella Regione AWS in cui risiedono le tue istanze.

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. La colonna Autorità di certificazione (all'estrema destra della tabella) mostra quali istanze sono ancora presenti nel vecchio certificato del server (rds-ca-2019) e nel nuovo certificato del server (rds-ca-rsa2048-g1).

Per identificare le istanze nei cluster che utilizzano il certificato del server precedente, utilizzare il comando describe-db-clusters con quanto riportato di seguito.

aws docdb describe-db-instances \
    --filters Name=engine,Values=docdb \
    --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

Come posso modificare singole istanze nel mio cluster Amazon DocumentDB per aggiornare il certificato del server?

Consigliamo di aggiornare contemporaneamente i certificati server per tutte le istanze di un determinato cluster. Per modificare le istanze nel cluster, è possibile utilizzare la console o l'AWS CLI.

Nota

L'aggiornamento delle istanze richiede un riavvio, che potrebbe causare interruzioni del servizio. Prima di aggiornare il certificato del server, assicurati di aver completato la fase 1.

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com/docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella Regione AWS in cui risiedono i tuoi cluster.

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. La colonna Autorità di certificazione (all'estrema destra della tabella) mostra quali istanze si trovano ancora nel vecchio certificato del server ()rds-ca-2019.

  5. Nella tabella Cluster, in Cluster identifier, selezionate un'istanza da modificare.

  6. Scegliere Actions (Operazioni), quindi Modify (Modifica).

  7. In Certificate authority (Autorità di certificazione), selezionare il nuovo certificato del server (ad esempio rds-ca-rsa2048-g1) per questa istanza.

  8. È possibile visualizzare un riepilogo delle modifiche nella pagina successiva. Considera che è presente un avviso aggiuntivo per ricordare di assicurarsi che l'applicazione stia utilizzando il bundle CA più recente del certificato prima di modificare l'istanza per evitare di causare un'interruzione della connettività.

  9. Puoi scegliere di applicare la modifica durante la prossima finestra di manutenzione o applicarla immediatamente.

  10. Scegliere Modify instance (Modifica istanza) per completare l'aggiornamento.

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS CLI

  1. Per modificare immediatamente le istanze, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Per modificare le istanze del cluster in modo da utilizzare il nuovo certificato CA durante la successiva finestra di manutenzione del cluster, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Cosa succede se si aggiunge una nuova istanza a un cluster esistente?

Tutte le nuove istanze create utilizzano il vecchio certificato server e richiedono connessioni TLS utilizzando il vecchio certificato CA. Tutte le nuove istanze di Amazon DocumentDB create dopo il 25 gennaio 2024 utilizzeranno per impostazione predefinita il nuovo certificato 2048-g1. rds-ca-rsa

Cosa succede se nel cluster è presente una sostituzione o un failover di istanza?

Se nel cluster è presente una sostituzione di istanza, la nuova istanza creata continua a utilizzare lo stesso certificato server utilizzato in precedenza dall'istanza. Si consiglia di aggiornare contemporaneamente i certificati server per tutte le istanze. Se si verifica un failover nel cluster, viene utilizzato il certificato server sul nuovo primario.

Se non si utilizza TLS per connettersi al cluster, è comunque necessario aggiornare ciascuna delle istanze?

Se non utilizzi TLS per connetterti ai cluster Amazon DocumentDB, non è necessaria alcuna azione.

Se attualmente non uso TLS per connettermi al cluster ma ho intenzione di farlo in futuro, cosa devo fare?

Se hai creato un cluster prima di gennaio 2024, segui i passaggi 1 e 2 nella sezione precedente per assicurarti che l'applicazione utilizzi il pacchetto CA aggiornato e che ogni istanza di Amazon DocumentDB utilizzi il certificato server più recente. Se crei un cluster dopo il 25 gennaio 2024, il cluster disporrà già del certificato server più recente (2048-g1). rds-ca-rsa Per verificare che l'applicazione utilizzi il bundle di certificati CA più recente, consulta Se non si utilizza TLS per connettersi al cluster, è comunque necessario aggiornare ciascuna delle istanze?.

La scadenza può essere prorogata oltre agosto 2024?

Se le candidature si connettono tramite TLS, la scadenza non può essere prorogata.

Come posso essere sicuro di utilizzare il bundle CA più recente?

Per verificare di disporre del pacchetto più recente, utilizzate il seguente comando. Per eseguire questo comando, dovete avere installato java e gli strumenti java devono essere nella variabile PATH della shell. Per ulteriori informazioni, consultate Uso di Java

keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b

Perché viene visualizzato «RDS» nel nome del bundle CA?

Per alcune funzionalità di gestione, come la gestione dei certificati, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS).

Quando scadrà il nuovo certificato?

Il nuovo certificato del server scadrà (in genere) come segue:

  • rds-ca-rsa2048-g1: scade nel 2061

  • rds-ca-rsa4096-g1 — Scade il 2121

Se è stato applicato il nuovo certificato server, è possibile ripristinare il vecchio certificato?

Se è necessario ripristinare un'istanza al certificato server precedente, consigliamo di farlo per tutte le istanze del cluster. È possibile ripristinare il certificato del server per ogni istanza in un cluster utilizzando la AWS Management Console o l'AWS CLI.

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com/docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella Regione AWS in cui risiedono i tuoi cluster.

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. Nella tabella Cluster, in Identificatore cluster, seleziona un'istanza da modificare. Scegli Actions (Operazioni), quindi Modify (Modifica).

  5. In Certificate authority (Autorità di certificazione), è possibile selezionare il vecchio certificato del server (rds-ca-2019).

  6. Scegliere Continue (Continua) per visualizzare un riepilogo delle modifiche.

  7. In questa pagina, è possibile scegliere di pianificare le modifiche da applicare nella finestra di manutenzione successiva o di applicare le modifiche immediatamente. Effettuare la selezione e scegliere Modify instance (Modifica istanza).

    Nota

    Se si sceglie di applicare le modifiche immediatamente, anche tutte le modifiche incluse nella coda delle modifiche in sospeso saranno applicate. Se nessuna delle modifiche in sospeso richiede tempi di inattività, la scelta di applicarle può provocare tempi di inattività imprevisti.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

Se si sceglie --no-apply-immediately, la modifica verrà applicata durante la prossima finestra di manutenzione del cluster.

Se ripristino da uno snapshot o un da un momento specifico, sarà disponibile il nuovo certificato del server?

Se ripristini un'istantanea o esegui un point-in-time ripristino dopo agosto 2024, il nuovo cluster creato utilizzerà il nuovo certificato CA.

Cosa succede se ho problemi a connettermi direttamente al mio cluster Amazon DocumentDB da qualsiasi sistema operativo Mac?

Mac OS ha aggiornato i requisiti per i certificati affidabili. I certificati affidabili devono ora essere validi per 397 giorni o meno (vedihttps://support.apple.com/en-us/HT211025).

Nota

Questa restrizione viene rispettata nelle versioni più recenti di Mac OS.

I certificati di istanza Amazon DocumentDB sono validi per oltre quattro anni, più a lungo del limite massimo consentito per Mac OS. Per connetterti direttamente a un cluster Amazon DocumentDB da un computer con sistema operativo Mac OS, devi consentire certificati non validi durante la creazione della connessione TLS. In questo caso, i certificati non validi indicano che il periodo di validità è superiore a 397 giorni. È necessario comprendere i rischi prima di consentire certificati non validi durante la connessione al cluster Amazon DocumentDB.

Per connetterti a un cluster Amazon DocumentDB da Mac OS utilizzando ilAWS CLI, usa il tlsAllowInvalidCertificates parametro.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates