Atualizando seus certificados do Amazon DocumentDB TLS - Amazon DocumentDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizando seus certificados do Amazon DocumentDB TLS

O certificado de autoridade de certificação (CA) para clusters Amazon DocumentDB será atualizado a partir de agosto de 2024. Se você estiver usando clusters do Amazon DocumentDB com o Transport Layer Security (TLS) ativado (a configuração padrão) e não tiver feito a rotação do aplicativo cliente e dos certificados do servidor, as etapas a seguir são necessárias para mitigar os problemas de conectividade entre seu aplicativo e seus clusters do Amazon DocumentDB.

Os certificados CA e de servidor foram atualizados como parte das melhores práticas de manutenção e segurança padrão do Amazon DocumentDB. Os aplicativos cliente devem adicionar os novos certificados de CA em seus armazenamentos de confiança, e as instâncias do Amazon DocumentDB existentes devem ser atualizadas para usar os novos certificados de CA antes dessa data de validade.

Atualizando seu aplicativo e o cluster Amazon DocumentDB

Siga as etapas nesta seção para atualizar o pacote de certificados CA do aplicativo (Etapa 1) e os certificados de servidor do cluster (Etapa 2). Antes de aplicar as alterações nos seus ambientes de produção, recomendamos testar estas etapas em um ambiente de desenvolvimento ou teste.

nota

Você deve concluir as etapas 1 e 2 em cada uma Região da AWS em que você tem clusters do Amazon DocumentDB.

Etapa 1: Fazer download do novo certificado de CA e atualizar seu aplicativo

Baixe o novo certificado CA e atualize seu aplicativo para usar o novo certificado CA para criar TLS conexões com o Amazon DocumentDB. Faça download do novo pacote de certificados CA em https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem. Essa operação faz download de um arquivo chamado global-bundle.pem.

nota

Se você estiver acessando o keystore que contém o certificado CA antigo (rds-ca-2019-root.pem) e os novos certificados CA (rds-ca-rsa2048-g1,,rds-ca-ecc384-g1)rds-ca-rsa4096-g1, verifique se o keystore seleciona. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

Depois, atualize seus aplicativos para usar o novo pacote de certificados. O novo pacote CA contém o certificado CA antigo (rds-ca-2019) e os novos certificados CA (rds-ca-rsa2048-g1, 4096-g1, 384-g1). rds-ca-rsa rds-ca-ecc Com os dois certificados da autoridade de certificação (CA) no novo pacote, é possível atualizar seu aplicativo e cluster em duas etapas.

Para aplicativos Java, você deve criar um novo armazenamento confiável com o novo certificado CA. Para obter instruções, consulte a guia Java no Conexão com TLS ativado tópico.

Para verificar se o aplicativo está usando o pacote de certificados CA mais recente, consulte Como garantir que estou usando o pacote da CA mais recente?. Se você já estiver usando o pacote de certificados CA mais recente em seu aplicativo, poderá avançar para a Etapa 2.

Para obter exemplos de como usar um pacote CA com o seu aplicativo, consulte Criptografia de dados em trânsito e Conexão com TLS ativado.

nota

Atualmente, o MongoDB Go Driver 1.2.1 aceita somente um certificado de servidor CA em sslcertificateauthorityfile. Consulte Conexão com TLS ativado para se conectar ao Amazon DocumentDB usando Go quando TLS estiver habilitado.

Etapa 2: Atualizar o certificado do servidor

Depois que o aplicativo foi atualizado para usar o novo pacote de CA, o próximo passo é atualizar o certificado de servidor modificando cada instância em um cluster do Amazon DocumentDB. Para modificar as instâncias para usarem o novo certificado de servidor, consulte as instruções a seguir.

O Amazon DocumentDB fornece o seguinte CAs para assinar o certificado do servidor de banco de dados para uma instância de banco de dados:

  • rds-ca-ecc384-g1 — usa uma autoridade de certificação com o algoritmo de chave privada ECC 384 e o algoritmo de assinatura. SHA384 Essa CA é compatível com a alternância automática de certificados do servidor. Isso só é compatível com o Amazon DocumentDB 4.0 e 5.0.

  • rds-ca-rsa2048-g1 — usa uma autoridade de certificação com algoritmo de chave privada RSA 2048 e SHA256 algoritmo de assinatura na maioria das regiões. AWS Essa CA é compatível com a alternância automática de certificados do servidor.

  • rds-ca-rsa4096-g1 — usa uma autoridade de certificação com algoritmo de chave privada RSA 4096 e algoritmo de assinatura. SHA384 Essa CA é compatível com a alternância automática de certificados do servidor.

Esses certificados CA estão incluídos no pacote de certificados regionais e globais. Quando você usa a CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 ou 384-g1 com um banco de dados, o Amazon rds-ca-ecc DocumentDB gerencia o certificado do servidor de banco de dados no banco de dados. O Amazon DocumentDB alterna o certificado do servidor de banco de dados automaticamente antes que ele expire.

nota

O Amazon DocumentDB não exige uma reinicialização para rotação de certificados se seu cluster estiver sendo executado nas seguintes versões de patch do mecanismo:

  • Amazon DocumentDB 3.6:1.0.208662 ou superior

  • Amazon DocumentDB 4.0:2.0.10179 ou superior

  • Amazon DocumentDB 5.0:3.0.4780 ou superior

Você pode determinar a versão atual do patch do mecanismo Amazon DocumentDB executando o seguinte comando:. db.runCommand({getEngineVersion: 1})

Antes de atualizar o certificado do servidor, verifique se você concluiuEtapa 1.

Using the AWS Management Console

Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS Management Console.

  1. Faça login no e abra AWS Management Console o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.

  3. No painel de navegação no lado esquerdo do console, em DAX, selecione Clusters.

  4. Talvez seja necessário identificar quais instâncias ainda estão no certificado antigo do servidor (rds-ca-2019). É possível fazer isso na coluna Autoridade de certificação, localizada na extremidade direita da tabela Clusters.

  5. Na tabela Clusters, você verá a coluna Identificador do cluster na extremidade esquerda. Suas instâncias estão listadas em clusters, semelhante ao snapshot abaixo.

    Imagem da caixa de navegação Clusters mostrando uma lista de links de cluster existentes e seus links de instância correspondentes.
  6. Marque a caixa à esquerda da instância na qual você está interessado.

  7. Escolha Açõe e Modificar.

  8. Em Autoridade de certificação, selecione o novo certificado do servidor (rds-ca-rsa2048-g1) para esta instância.

  9. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que o aplicativo esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.

  10. É possível optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente. Se sua intenção é modificar o certificado do servidor imediatamente, use a opção Apply immediately (Aplicar imediatamente).

  11. Escolha Modificar instância para concluir a atualização.

Using the AWS CLI

Conclua as etapas a seguir para identificar e girar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.

  1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
  2. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Solução de problemas

Se você estiver tendo problemas para conectar-se ao cluster como parte da alternância de certificado, sugerimos o seguinte:

Perguntas frequentes

A seguir estão as respostas para algumas perguntas comuns sobre TLS certificados.

E se eu tiver dúvidas ou problemas?

Se você tiver dúvidas ou problemas, entre em contato com o AWS Support.

Como sei se estou usando TLS para me conectar ao meu cluster Amazon DocumentDB?

Você pode determinar se o cluster está sendo usado TLS examinando o tls parâmetro do grupo de parâmetros do cluster. Se o tls parâmetro estiver definido comoenabled, você está usando o TLS certificado para se conectar ao seu cluster. Para obter mais informações, consulte Gerenciando grupos de parâmetros de cluster do Amazon DocumentDB.

Por que vocês estão atualizando os certificados da CA e do servidor?

Os certificados da CA e do servidor do Amazon DocumentDB estão sendo atualizados como parte das práticas recomendadas de manutenção e segurança padrão do Amazon DocumentDB. Os certificados atuais de CA e do servidor expirarão a partir de agosto de 2024.

O que acontecerá se eu não fizer nada até a data de vencimento?

Se você estiver usando TLS para se conectar ao seu cluster Amazon DocumentDB e não fizer a alteração do certificado até , seus aplicativos que se conectarem via não TLS poderão mais se comunicar com o cluster Amazon DocumentDB.

O Amazon DocumentDB não alternará seus certificados de banco de dados automaticamente antes da expiração. Você deve atualizar seus aplicativos e clusters para usar os novos certificados CA antes ou depois da data de expiração.

Como sei quais das minhas instâncias do Amazon DocumentDB estão usando o certificado de servidor antigo/novo?

Para identificar as instâncias do Amazon DocumentDB que ainda usam o certificado de servidor antigo, você pode usar o Amazon AWS Management Console DocumentDB ou o. AWS CLI

Como identificar as instâncias em seus clusters que estão usando o certificado mais antigo
  1. Faça login no e abra AWS Management Console o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que suas instâncias residem.

  3. No painel de navegação no lado esquerdo do console, em DAX, selecione Clusters.

  4. A coluna Autoridade de certificação (próxima à extremidade direita da tabela) mostra quais instâncias ainda estão com o certificado antigo do servidor (rds-ca-2019) e com o novo certificado do servidor (rds-ca-rsa2048-g1).

Para identificar as instâncias em seus clusters que estão usando o certificado de servidor mais antigo, use o comando describe-db-clusters com o seguinte.

aws docdb describe-db-instances \ --filters Name=engine,Values=docdb \ --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

Como modifico instâncias individuais no meu cluster do Amazon DocumentDB para atualizar o certificado do servidor?

Recomendamos atualizar os certificados de servidor para todas as instâncias de um determinado cluster ao mesmo tempo. Para modificar as instâncias em seu cluster, é possível usar o console ou a AWS CLI.

nota

Antes de atualizar o certificado de servidor, verifique se você concluiu a Etapa 1.

  1. Faça login no e abra AWS Management Console o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.

  3. No painel de navegação no lado esquerdo do console, em DAX, selecione Clusters.

  4. A coluna Autoridade de certificação (próxima à extremidade direita da tabela) mostra quais instâncias ainda estão com o certificado antigo do servidor (rds-ca-2019) e com o novo certificado do servidor ().

  5. Na tabela Clusters, em Identificador de cluster, selecione uma instância para modificar.

  6. Escolha Açõe e Modificar.

  7. Em Autoridade de certificação, selecione o novo certificado do servidor (rds-ca-rsa2048-g1) para esta instância.

  8. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que o aplicativo esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.

  9. É possível optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente.

  10. Escolha Modificar instância para concluir a atualização.

Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.

  1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
  2. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

O que acontecerá se eu adicionar uma nova instância a um cluster existente?

Todas as novas instâncias criadas usam o certificado de servidor antigo e exigem TLS conexões usando o certificado CA antigo. Qualquer nova instância do Amazon DocumentDB criada após 25 de janeiro de 2024 usará como padrão o novo certificado 2048-g1. rds-ca-rsa

O que acontecerá se houver uma substituição de instância ou um failover no meu cluster?

Se houver uma substituição de instância no cluster, a nova instância criada continuará usando o mesmo certificado do servidor que a outra instância estava usando anteriormente. Recomendamos atualizar os certificados do servidor para todas as instâncias ao mesmo tempo. Se um failover acontecer no cluster, o certificado do servidor no novo primário será usado.

Se eu não estiver usando TLS para me conectar ao meu cluster, ainda preciso atualizar cada uma das minhas instâncias?

É altamente recomendável habilitarTLS. Caso você não habiliteTLS, ainda recomendamos alternar os certificados em suas instâncias do Amazon DocumentDB, caso você planeje TLS usá-los para se conectar aos seus clusters no futuro. Se você nunca planeja usar para se conectar TLS aos seus clusters do Amazon DocumentDB, nenhuma ação é necessária.

Se eu não estiver usando TLS para me conectar ao meu cluster, mas pretendo fazer isso no futuro, o que devo fazer?

Se você criou um cluster antes de janeiro de 2024, siga as Etapa 1 e Etapa 2 da seção anterior para garantir que seu aplicativo esteja usando o pacote de CA atualizado e que cada instância do Amazon DocumentDB esteja usando o certificado de servidor mais recente. Se você criar um cluster após 25 de janeiro de 2024, seu cluster já terá o certificado de servidor mais recente (rds-ca-rsa2048-g1). Para verificar se o aplicativo está usando o pacote de certificados CA mais recente, consulte Se eu não estiver usando TLS para me conectar ao meu cluster, ainda preciso atualizar cada uma das minhas instâncias?.

O prazo pode ser prorrogado para além de agosto de 2024?

Se suas inscrições estiverem se conectando viaTLS, o prazo não poderá ser estendido.

Como garantir que estou usando o pacote da CA mais recente?

Para verificar se você tem o pacote mais recente, use o comando a seguir. Para executar esse comando, você deve ter o java instalado e as ferramentas java precisam estar na PATH variável do seu shell. Para obter mais informações, consulte Usar o Java

keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b

Por que vejo "RDS" no nome do pacote CA?

Para determinados recursos de gerenciamento, como gerenciamento de certificados, o Amazon DocumentDB usa tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon). RDS

Quando o novo certificado expirará?

O novo certificado de servidor expirará (geralmente) da seguinte forma:

  • rds-ca-rsa2048-g1 — Expira em 2016

  • rds-ca-rsa4096-g1 — expira em 2121

  • rds-ca-ecc384-g1 — expira em 2121

Que tipo de erros eu verei se eu não agir antes que o certificado expire?

As mensagens de erro variam dependendo do seu driver. Em geral, você verá erros de validação do certificado que contêm a string “o certificado expirou”.

Se eu apliquei o novo certificado de servidor, posso revertê-lo para o antigo certificado de servidor?

Se for necessário reverter uma instância para o certificado de servidor antigo, recomendamos fazer isso para todas as instâncias do cluster. Você pode reverter o certificado do servidor para cada instância em um cluster usando o AWS Management Console ou o. AWS CLI

  1. Faça login no e abra AWS Management Console o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.

  2. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.

  3. No painel de navegação no lado esquerdo do console, em DAX, selecione Clusters.

  4. Na tabela Clusters, em Identificador de cluster, selecione uma instância para modificar. Escolha Ações e, em seguida, Modificar.

  5. Em Autoridade de certificação, é possível selecionar o certificado de servidor antigo (rds-ca-2019).

  6. Escolha Continue para exibir um resumo das modificações.

  7. Nesta página resultante, é possível optar por programar suas modificações para serem aplicadas na próxima janela de manutenção ou aplicá-las imediatamente. Faça sua seleção e escolha Modificar instância.

    nota

    Se você optar por aplicar as alterações imediatamente, todas as alterações na fila de modificações pendentes também serão aplicadas. Se qualquer uma das alterações pendentes exigir tempo de inatividade, escolher essa opção poderá causar um tempo de inatividade inesperado.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

Se você escolher --no-apply-immediately, a alteração será aplicada na próxima janela de manutenção do cluster.

Se eu restaurar de um snapshot ou uma restauração point-in-time, ele terá o novo certificado de servidor?

Se você restaurar um snapshot ou realizar uma point-in-time restauração após agosto de 2024, o novo cluster criado usará o novo certificado CA.

E se eu estiver tendo problemas para conectar-me diretamente ao cluster do Amazon DocumentDB de qualquer Mac OS?

O Mac OS atualizou os requisitos para certificados confiáveis. Os certificados confiáveis agora devem ser válidos por 397 dias ou menos (consulte https://support.apple.com/en-us/HT211025).

nota

Esta restrição é observada nas versões mais recentes do Mac OS.

Os certificados de instância do Amazon DocumentDB são válidos por mais de quatro anos, mais do que o máximo do Mac OS. Para se conectar diretamente a um cluster do Amazon DocumentDB a partir de um computador executando o Mac OS, você deve permitir certificados inválidos ao criar a conexão. TLS Nesse caso, os certificados inválidos significam que o período de validade é superior a 397 dias. Você deve entender os riscos antes de permitir certificados inválidos ao conectar-se ao seu cluster do Amazon DocumentDB.

Para se conectar a um cluster do Amazon DocumentDB a partir do Mac OS usando o AWS CLI, use o tlsAllowInvalidCertificates parâmetro.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates