本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新 Lightsail 数据库的 CA 证书版本
Amazon Lightsail 发布了新的证书颁发机构 (CA) 证书,用于使用 SSL/TLS 连接到您的托管数据库。本指南介绍如何升级到新的 CA 证书。您只能使用 update-relational-databaseAPI 操作升级证书。新证书称为rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
。旧证书被称为rds-ca-2019
。我们提供 CA 证书作为 AWS 安全最佳实践。有关托管数据库的 CA 证书和支持的证书的信息 AWS 区域,请参阅为托管数据库下载 SSL 证书。
旧的 CA 证书 (rds-ca-2019
) 将于 2024 年 8 月 22 日到期。因此,我们强烈建议您尽快完成本指南中的步骤,修改您的托管式数据库以使用新证书。如果您的应用程序未使用 SSL/TLS 连接到 Lightsail 托管数据库,则无需执行任何操作。如果这些步骤未完成,则在 2024 年 8 月 22 日之后,您的应用程序将无法使用 SSL/TLS 连接到您的托管数据库。
2024 年 1 月 26 日之后创建的新托管数据库将默认使用该rds-ca-rsa2048-g1
证书。如果要临时修改新的托管数据库以使用旧证书 (rds-ca-2019
),则可以使用 AWS Command Line Interface (AWS CLI) 进行修改。2024 年 1 月 26 日之前创建的所有托管数据库都将使用该rds-ca-2019
证书,直到您将其更新为rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
证书。
注意
在生产环境中使用本指南中的步骤之前,请先在开发或测试环境中进行测试。
先决条件
-
在本指南中,您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳,您可以直接从 Lightsail 控制台启动它。使用 CloudShell,您可以使用首选外壳运行 AWS Command Line Interface (AWS CLI) 命令,例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具,即可完成此操作。有关如何设置和使用的 CloudShell更多信息,请参阅 Lightsai AWS CloudShell l 中的。
-
请务必更新数据库应用程序以使用新的 SSL/TLS 证书,再完成以下步骤。更新应用程序以使用新 SSL/TLS 证书的方法取决于特定的应用程序。请与应用程序开发人员一起更新应用程序的 SSL/TLS 证书。要了解有关更新应用程序以使用新 SSL/TLS 证书的更多信息,请参阅《Amazon Relational Database Service 用户指南》中的更新应用程序以使用新的 SSL/TLS 证书连接到 MySQL 数据库实例或者更新应用程序以使用新的 SSL/TLS 证书连接到 PostgreSQL 数据库实例。
识别托管数据库的有效 CA 证书
完成以下步骤以识别您的 Lightsail 数据库实例的有效 CA 证书。
-
打开终端AWS CloudShell、或命令提示符窗口。
-
输入以下命令以识别托管数据库的有效 CA 证书。
aws lightsail get-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
| grep "caCertificateIdentifier"在命令中,
DatabaseName
替换为要修改的数据库的DatabaseRegion
名称以及数据库实例所在 AWS 区域 的名称。示例
aws lightsail get-relational-database --relational-database-name
Database-1
--regionus-east-1
| grep "caCertificateIdentifier"该命令将返回您的数据库的有效 CA 证书的 ID。
示例
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
修改托管式数据库以使用新 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用其中一个新的 CA 证书(rds-ca-rsa2048-g1
rds-ca-rsa4096-g1
、和rds-ca-ecc384-g1
)。
-
打开终端AWS CloudShell、或命令提示符窗口。
-
输入以下命令以在托管数据库上使用新证书。
aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-rsa2048-g1在命令中,
DatabaseName
替换为要修改的数据库的名称。示例
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-rsa2048-g1托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加
--apply-immediately
参数,则会立即更新。
修改托管式数据库以使用旧 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用旧的 CA 证书 () rds-ca-2019
。只有在其中一个新证书(rds-ca-rsa2048-g1
、和rds-ca-ecc384-g1
)遇到严重问题并且需要暂时恢复旧证书时rds-ca-rsa4096-g1
,才执行此操作。
-
打开终端AWS CloudShell、或命令提示符窗口。
-
输入以下命令以在托管式数据库上使用
rds-ca-2019
。aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-2019在命令中,
DatabaseName
替换为要修改的数据库的名称。示例
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-2019托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加
--apply-immediately
参数,则会立即更新。