更新 Lightsail 数据库的 CA 证书版本 - Amazon Lightsail
先决条件识别托管数据库的有效 CA 证书修改托管式数据库以使用新 CA 证书修改托管式数据库以使用旧 CA 证书

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新 Lightsail 数据库的 CA 证书版本

Amazon Lightsail 发布了新的证书颁发机构 (CA) 证书,用于使用 SSL/TLS 连接到您的托管数据库。本指南介绍如何升级到新的 CA 证书。您只能使用 update-relational-databaseAPI 操作升级证书。新证书称为rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1。旧证书被称为rds-ca-2019。我们提供 CA 证书作为 AWS 安全最佳实践。有关托管数据库的 CA 证书和支持的证书的信息 AWS 区域,请参阅为托管数据库下载 SSL 证书

旧的 CA 证书 (rds-ca-2019) 将于 2024 年 8 月 22 日到期。因此,我们强烈建议您尽快完成本指南中的步骤,修改您的托管式数据库以使用新证书。如果您的应用程序未使用 SSL/TLS 连接到 Lightsail 托管数据库,则无需执行任何操作。如果这些步骤未完成,则在 2024 年 8 月 22 日之后,您的应用程序将无法使用 SSL/TLS 连接到您的托管数据库。

2024 年 1 月 26 日之后创建的新托管数据库将默认使用该rds-ca-rsa2048-g1证书。如果要临时修改新的托管数据库以使用旧证书 (rds-ca-2019),则可以使用 AWS Command Line Interface (AWS CLI) 进行修改。2024 年 1 月 26 日之前创建的所有托管数据库都将使用该rds-ca-2019证书,直到您将其更新为rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1证书。

注意

在生产环境中使用本指南中的步骤之前,请先在开发或测试环境中进行测试。

先决条件

  • 在本指南中,您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳,您可以直接从 Lightsail 控制台启动它。使用 CloudShell,您可以使用首选外壳运行 AWS Command Line Interface (AWS CLI) 命令,例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具,即可完成此操作。有关如何设置和使用的 CloudShell更多信息,请参阅 Lightsai AWS CloudShell l 中的

  • 请务必更新数据库应用程序以使用新的 SSL/TLS 证书,再完成以下步骤。更新应用程序以使用新 SSL/TLS 证书的方法取决于特定的应用程序。请与应用程序开发人员一起更新应用程序的 SSL/TLS 证书。要了解有关更新应用程序以使用新 SSL/TLS 证书的更多信息,请参阅《Amazon Relational Database Service 用户指南》中的更新应用程序以使用新的 SSL/TLS 证书连接到 MySQL 数据库实例或者更新应用程序以使用新的 SSL/TLS 证书连接到 PostgreSQL 数据库实例

识别托管数据库的有效 CA 证书

完成以下步骤以识别您的 Lightsail 数据库实例的有效 CA 证书。

  1. 打开终端AWS CloudShell、或命令提示符窗口。

  2. 输入以下命令以识别托管数据库的有效 CA 证书。

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    在命令中,DatabaseName替换为要修改的数据库的DatabaseRegion名称以及数据库实例所在 AWS 区域 的名称。

    示例

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    该命令将返回您的数据库的有效 CA 证书的 ID。

    示例

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

修改托管式数据库以使用新 CA 证书

完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用其中一个新的 CA 证书(rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1)。

  1. 打开终端AWS CloudShell、或命令提示符窗口。

  2. 输入以下命令以在托管数据库上使用新证书。

    aws lightsail update-relational-database --relational-database-name DatabaseName --ca-certificate-identifier rds-ca-rsa2048-g1

    在命令中,DatabaseName替换为要修改的数据库的名称。

    示例

    aws lightsail update-relational-database --relational-database-name Database-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加--apply-immediately参数,则会立即更新。

修改托管式数据库以使用旧 CA 证书

完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用旧的 CA 证书 () rds-ca-2019。只有在其中一个新证书(rds-ca-rsa2048-g1、和rds-ca-ecc384-g1)遇到严重问题并且需要暂时恢复旧证书时rds-ca-rsa4096-g1,才执行此操作。

  1. 打开终端AWS CloudShell、或命令提示符窗口。

  2. 输入以下命令以在托管式数据库上使用 rds-ca-2019

    aws lightsail update-relational-database --relational-database-name DatabaseName --ca-certificate-identifier rds-ca-2019

    在命令中,DatabaseName替换为要修改的数据库的名称。

    示例

    aws lightsail update-relational-database --relational-database-name Database-1 --ca-certificate-identifier rds-ca-2019

    托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加--apply-immediately参数,则会立即更新。