Updating Your Amazon DocumentDB TLS Certificates - Amazon DocumentDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Updating Your Amazon DocumentDB TLS Certificates

O certificado da autoridade do certificado (CA) para Amazon DocumentDB (compatível com MongoDB) clusters foram atualizados em March 5, 2020. Se estiver a utilizar Amazon DocumentDB com a opção de Segurança da Camada de Transporte (TLS) ativada (a predefinição) e não rodou os certificados do seu cliente e servidor, são necessários os seguintes passos para mitigar problemas de conectividade entre a sua candidatura e o seu Amazon DocumentDB grupos.

Os certificados CA e de servidor foram atualizados como parte das melhores práticas de manutenção e segurança padrão do Amazon DocumentDB. O certificado CA anterior expirou em 5 de março de 2020. Os aplicativos cliente precisam adicionar os novos certificados de CA aos respectivos armazenamentos de confiança, e as instâncias do Amazon DocumentDB existentes precisam ser atualizadas para usar os novos certificados de CA antes dessa data de expiração.

Updating Your Application and Amazon DocumentDB Cluster

Siga as etapas nesta seção para atualizar o pacote de certificados CA do aplicativo (Etapa 1) e os certificados de servidor do cluster (Etapa 2). Antes de aplicar as alterações nos seus ambientes de produção, recomendamos testar estas etapas em um ambiente de desenvolvimento ou teste.

nota

Você deverá concluir as etapas 1 e 2 em cada região da AWS na qual tiver clusters do Amazon DocumentDB.

Step 1: Download the New CA Certificate and Update Your Application

Faça download do novo certificado da CA e atualize o aplicativo para usá-lo na criação de conexões TLS com o Amazon DocumentDB. Faça download do novo pacote de certificados CA em https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem. Essa operação faz download de um arquivo chamado rds-combined-ca-bundle.pem.

nota

Se você estiver acessando o armazenamento de chaves que contém o certificado CA antigo (rds-ca-2015-root.pem) e o novo certificado CA (rds-ca-2019-root.pem), verifique se o armazenamento de chaves seleciona CA-2019.

wget https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem

Depois, atualize seus aplicativos para usar o novo pacote de certificados. O novo pacote da CA contém o certificado antigo (rds-ca-2015-root.pem) e o novo (rds-ca-2019-root.pem) da CA. Com os dois certificados da autoridade de certificação (CA) no novo pacote, é possível atualizar seu aplicativo e cluster em duas etapas.

Quaisquer downloads do pacote de certificados da autoridade de certificação após 1º de setembro de 2019 deverão usar o novo pacote da CA. Para verificar se o aplicativo está usando o pacote de certificados CA mais recente, consulte How can I be sure that I'm using the newest CA bundle?. Se você já estiver usando o pacote de certificados CA mais recente em seu aplicativo, poderá avançar para a Etapa 2.

Para obter exemplos de como usar um pacote CA com o seu aplicativo, consulte Criptografia de dados em trânsito e Conectar-se com o TLS habilitado.

nota

Atualmente, o mongodb Go Driver 1.2.1 aceita apenas um certificado de servidor CA em sslcertificateauthorityfile. Consulte Conectar-se com o TLS habilitado para ligar a documentos Amazon utilizando Go quando o TLS estiver ativado.

Step 2: Update the Server Certificate

Depois que o aplicativo foi atualizado para usar o novo pacote de CA, o próximo passo é atualizar o certificado de servidor modificando cada instância em um cluster do Amazon DocumentDB. Para modificar as instâncias para usarem o novo certificado de servidor, consulte as instruções a seguir.

nota

A atualização de suas instâncias requer uma reinicialização, o que pode causar interrupção no serviço. Antes de atualizar o certificado de servidor, verifique se você concluiu a Etapa 1.

Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a Console de gerenciamento da AWS.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha a região da AWS em que os clusters residem.

  3. No painel de navegação, no lado esquerdo do console, escolha Instances (Instâncias).

  4. A coluna Certificate authority (Autoridade de certificação) (oculta por padrão) mostra quais instâncias ainda estão no certificado antigo do servidor (rds-ca-2015). Para exibir a coluna Certificate authority (Autoridade de certificação), siga estas etapas:

    1. Escolha o ícone Settings (Configurações).

    2. Na lista de colunas visíveis, selecione a coluna Certificate authority (Autoridade de certificação).

    3. Depois, escolha Confirm (Confirmar) para salvar as alterações.

  5. Selecione uma instância para modificá-la.

  6. Escolha Actions (Ações) e, em seguida, Modify (Modificar).

  7. Em Certificate authority (Autoridade de certificação), selecione o novo certificado do servidor (rds-ca-2019) para essa instância.

  8. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que o aplicativo esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.

  9. Você pode optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente. Se sua intenção é modificar o certificado do servidor imediatamente, use a opção Apply immediately (Aplicar imediatamente).

  10. Escolha Modify instance (Modificar instância) para concluir a atualização.

Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.

  1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-2019 --apply-immediately
  2. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-2019 --no-apply-immediately

Troubleshooting

Se você estiver tendo problemas para conectar-se ao cluster como parte da alternância de certificado, sugerimos o seguinte:

Frequently Asked Questions

Veja a seguir as respostas a algumas perguntas comuns sobre certificados TLS.

What if I have questions or issues?

Se você tiver dúvidas ou problemas, entre em contato com o AWS Support.

How do I know whether I'm using TLS to connect to my Amazon DocumentDB cluster?

Para ver se o cluster está usando TLS, examine o parâmetro tls do seu grupo de parâmetros do cluster. Se o parâmetro tls estiver definido como enabled, você está usando o certificado TLS para se conectar ao cluster. Para obter mais informações, consulte Managing Amazon DocumentDB Cluster Parameter Groups.

Why are you updating the CA and server certificates?

Os certificados CA e de servidor do Amazon DocumentDB foram atualizados como parte das melhores práticas de manutenção e segurança padrão do Amazon DocumentDB. Os certificados CA e de servidor atuais estão definidos para expirar em 5 de março de 2020, quinta-feira.

What happens if I don't take any action by March 5, 2020?

Se você estiver usando TLS para se conectar ao cluster do Amazon DocumentDB e não fizer a alteração até 5 de março de 2020, seus aplicativos que se conectam via TLS não poderão mais se comunicar com o cluster do Amazon DocumentDB.

O Amazon DocumentDB não alternará seus certificados de banco de dados automaticamente antes de 5 de março de 2020. Você deve atualizar seus aplicativos e clusters para usar os novos certificados CA antes ou depois de 5 de março de 2020.

How do I know which of my Amazon DocumentDB instances are using the old/new server certificate?

Para identificar as instâncias do Amazon DocumentDB que ainda usam o certificado de servidor antigo, é possível usar o Console de gerenciamento da AWS do Amazon DocumentDB ou a AWS CLI.

Como identificar as instâncias em seus clusters que estão usando o certificado mais antigo

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha a região da AWS em que as instâncias residem.

  3. No painel de navegação, no lado esquerdo do console, escolha Instances (Instâncias).

  4. A coluna Certificate authority (Autoridade de certificação) (oculta por padrão) mostra quais instâncias ainda estão com o certificado antigo do servidor (rds-ca-2015) e com o novo certificado de servidor (rds-ca-2019). Para exibir a coluna Certificate authority (Autoridade de certificação), siga estas etapas:

    1. Escolha o ícone Settings (Configurações).

    2. Na lista de colunas visíveis, selecione a coluna Certificate authority (Autoridade de certificação).

    3. Depois, escolha Confirm (Confirmar) para salvar as alterações.

Para identificar as instâncias em seus clusters que estão usando o certificado de servidor mais antigo, use o comando describe-db-clusters com o seguinte.

aws docdb describe-db-instances \ --filters Name=engine,Values=docdb \ --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

How do I modify individual instances in my Amazon DocumentDB cluster to update the server certificate?

Recomendamos atualizar os certificados de servidor para todas as instâncias de um determinado cluster ao mesmo tempo. Para modificar as instâncias em seu cluster, é possível usar o console ou a AWS CLI.

nota

A atualização de suas instâncias requer uma reinicialização, o que pode causar interrupção no serviço. Antes de atualizar o certificado de servidor, verifique se você concluiu a Etapa 1.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha a região da AWS em que os clusters residem.

  3. No painel de navegação, no lado esquerdo do console, escolha Instances (Instâncias).

  4. A coluna Certificate authority (Autoridade de certificação) (oculta por padrão) mostra quais instâncias ainda estão no certificado antigo do servidor (rds-ca-2015). Para exibir a coluna Certificate authority (Autoridade de certificação), siga estas etapas:

    1. Escolha o ícone Settings (Configurações).

    2. Na lista de colunas visíveis, selecione a coluna Certificate authority (Autoridade de certificação).

    3. Depois, escolha Confirm (Confirmar) para salvar as alterações.

  5. Selecione uma instância para modificá-la.

  6. Escolha Actions (Ações) e, em seguida, Modify (Modificar).

  7. Em Certificate authority (Autoridade de certificação), selecione o novo certificado do servidor (rds-ca-2019) para essa instância.

  8. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que o aplicativo esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.

  9. Você pode optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente.

  10. Escolha Modify instance (Modificar instância) para concluir a atualização.

Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.

  1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-2019 --apply-immediately
  2. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-2019 --no-apply-immediately

What happens if I add a new instance to an existing cluster?

Todas as novas instâncias criadas usam o certificado de servidor antigo e exigem conexões TLS com o certificado CA antigo. Todas as novas instâncias do Amazon DocumentDB criadas após 14 de janeiro de 2020 usarão os novos certificados como padrão.

What happens if there is an instance replacement or failover on my cluster?

Se houver uma substituição de instância no cluster, a nova instância criada continuará usando o mesmo certificado do servidor que a outra instância estava usando anteriormente. Recomendamos atualizar os certificados do servidor para todas as instâncias ao mesmo tempo. Se um failover acontecer no cluster, o certificado do servidor no novo primário será usado.

If I'm not using TLS to connect to my cluster, do I still need to update each of my instances?

Se você não usa TLS para se conectar aos seus clusters do Amazon DocumentDB, não precisa fazer nada.

If I'm not using TLS to connect to my cluster but I plan to in the future, what should I do?

Se você criou um cluster antes de 1º de novembro de 2019, siga a Etapa 1 e a Etapa 2 na seção anterior para garantir que seu aplicativo esteja usando o pacote de CA atualizado e que cada instância do Amazon DocumentDB esteja usando o certificado de servidor mais recente. Se você criou um cluster após 14 de janeiro de 2020, ele já terá o certificado de servidor mais recente. Para verificar se o aplicativo está usando o pacote de certificados CA mais recente, consulte If I'm not using TLS to connect to my cluster, do I still need to update each of my instances?.

Can the deadline be extended beyond March 5, 2020?

Se seus aplicativos estiverem se conectando via TLS, o prazo não pode ser prorrogado para além de 5 de março de 2020.

How can I be sure that I'm using the newest CA bundle?

Por motivos de compatibilidade, os ficheiros de grupo antigo e novo CA são nomeados rds-combined-ca-bundle.pem. Pode utilizar o tamanho e a tecla cardinal do pacote CA para determinar se o grupo CA é o mais recente. Além disso, também é possível usar ferramentas como openssl ou keytool para inspecionar o pacote de CA. O arquivo de pacote de CA antigo tem 26016 bytes de tamanho, e o hash SHA1 é 4cd5ba9e145006b17c400d5c778e1965b50172aa.

É possível verificar se tem o pacote mais recente usando os seguintes comandos.

Comando

ls -l rds-combined-ca-bundle.pem

Resultado

-rw-r--r-- 1 user users 65484 Sep 25 14:49 rds-combined-ca-bundle.pem

Comando

shasum rds-combined-ca-bundle.pem

Resultado

e12be0c71b499540ac6fe0c36a5050231616c9c4 rds-combined-ca-bundle.pem

Comando

ls -l rds-combined-ca-bundle.pem

Resultado

-rw-rw-r-- 1 ec2-user ec2-user 65484 Sep 25 20:52 rds-combined-ca-bundle.pem

Comando

sha1sum rds-combined-ca-bundle.pem

Resultado

e12be0c71b499540ac6fe0c36a5050231616c9c4 rds-combined-ca-bundle.pem

Comando

dir rds-combined-ca-bundle.pem

Resultado

09/25/2019 02:53 PM 65,484 rds-combined-ca-bundle.pem

Comando

certutil -hashfile rds-combined-ca-bundle.pem

Resultado

SHA1 hash of rds-combined-ca-bundle.pem: e12be0c71b499540ac6fe0c36a5050231616c9c4

Why do I see "RDS" in the name of the CA bundle?

Em determinados recursos de gerenciamento, como o gerenciamento de certificados, o Amazon DocumentDB usa uma tecnologia operacional compartilhada com o Amazon Relational Database Service (Amazon RDS).

When will the new certificate expire?

O novo certificado de servidor expirará em 22 de agosto de 2024 GMT.

If I applied the new server certificate, can I revert it back to the old server certificate?

Se for necessário reverter uma instância para o certificado de servidor antigo, recomendamos fazer isso para todas as instâncias do cluster. É possível reverter o certificado de servidor para cada instância em um cluster usando o Console de gerenciamento da AWS ou a AWS CLI.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon DocumentDB em https://console.aws.amazon.com/docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha a região da AWS em que os clusters residem.

  3. No painel de navegação, no lado esquerdo do console, escolha Instances (Instâncias).

  4. Selecione uma instância para modificá-la. Escolha Actions (Ações) e, em seguida, Modify (Modificar).

  5. Em Certificate authority (Autoridade de certificação), é possível selecionar o certificado de servidor antigo (rds-ca-2015).

  6. Escolha Continue (Continuar) para exibir um resumo das modificações.

  7. Nesta página resultante, você pode optar por programar suas modificações para serem aplicadas na próxima janela de manutenção ou aplicá-las imediatamente. Faça sua seleção e escolha Modify instance (Modificar instância).

    nota

    Se você optar por aplicar as alterações imediatamente, todas as alterações na fila de modificações pendentes também serão aplicadas. Se qualquer uma das alterações pendentes exigir tempo de inatividade, escolher essa opção poderá causar um tempo de inatividade inesperado.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2015 <--apply-immediately | --no-apply-immediately>

Se você escolher --no-apply-immediately, a alteração será aplicada na próxima janela de manutenção do cluster.

If I restore from a snapshot or a point in time restore, will it have the new server certificate ?

Se você restaurar um snapshot ou executar uma restauração point-in-time após 14 de janeiro de 2020, o novo cluster criado usará o novo certificado CA.

What if I’m having issues connecting directly to my Amazon DocumentDB cluster from Mac OS X Catalina?

O Mac OS X Catalina atualizou os requisitos para certificados confiáveis. Os certificados confiáveis agora devem ser válidos por 825 dias ou menos (consulte https://support.apple.com/en-us/HT210176). Os certificados de instância do Amazon DocumentDB são válidos por mais de quatro anos, mais do que o máximo do Mac OS X. Para conectar-se diretamente a um cluster co Amazon DocumentDB em um computador que executa o Mac OS X Catalina, permita certificados inválidos ao criar a conexão TLS. Nesse caso, os certificados inválidos significam que o período de validade é superior a 825 dias. Entenda os riscos antes de permitir certificados inválidos ao conectar-se ao cluster do Amazon DocumentDB.

Para conectar-se a um cluster do Amazon DocumentDB do OS X Catalina usando a AWS CLI, use o parâmetro tlsAllowInvalidCertificates.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates