旋轉您的SSL/TLS證書

Amazon RDS 證書頒發機構證書 rds-ca-2019 將於 2024 年 8 月到期。如果您使用或計劃使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 搭配憑證驗證來連線到RDS資料庫執行個體或異地同步備份資料庫叢集，請考慮使用其中一個新的 CA 憑證 rds-ca-rsa 2048-g1、4096 g1 或 384-g1。 rds-ca-rsa rds-ca-ecc 如果您目前不使用SSL/TLS搭配憑證驗證，您可能仍然擁有過期的 CA 憑證，如果您打算使用SSL/TLS搭配憑證驗證來連線至RDS資料庫，則必須將它們更新為新的 CA 憑證。

Amazon RDS 提供新的 CA 證書作為 AWS 安全性最佳做法。有關新證書和支持的信息 AWS 區域，請參閱使用SSL/TLS來加密資料庫執行個體或叢集集的連線。

若要更新資料庫的 CA 憑證，請使用下列方法：

• 修改資料庫執行個體或叢集以更新 CA 憑證

• 透過套用維護來更新憑證授權機構憑證

在更新資料庫執行個體或異地同步備份資料庫叢集以使用新的 CA 憑證之前，請務必更新連線至RDS資料庫的用戶端或應用程式。

輪換憑證的考量

輪換憑證之前，請考慮下列情況：

• Amazon RDS 代理使用來自 AWS Certificate Manager (ACM)。如果您使用 RDS Proxy，當您輪換SSL/TLS憑證時，不需要更新使用 RDS Proxy 連線的應用程式。如需詳細資訊，請參閱使用TLS/SSL與RDS代理。

• 如果您在 2020 年 7 月 28 日之前建立或更新為 rds-ca-2019 憑證的資料庫執行個體或異地同步備份資料庫叢集使用 Go 版 1.15 應用程式，則必須再次更新憑證。

  使用新的 modify-db-instance CA 憑證識別碼，對資料庫modify-db-cluster執行個體或異地同步備份資料庫叢集使用命令。您可以使用CAs該describe-db-engine-versions命令找到可用於特定數據庫引擎和數據庫引擎版本的。

  如果您在 2020 年 7 月 28 日之後建立資料庫或更新了憑證，則不需要採取任何動作。如需詳細資訊，請參閱 Go GitHub 問題 #39568。

修改資料庫執行個體或叢集以更新 CA 憑證

下列範例會將您的 CA 憑證從 RDS-CA 更新為 2048- g1。rds-ca-rsa您可以選擇不同的憑證。如需詳細資訊，請參閱憑證授權單位。

更新您的應用程式信任存放區，以減少與更新 CA 憑證相關的停機時間。如需與 CA 憑證輪替相關聯之重新啟動的詳細資訊，請參閱自動伺服器憑證輪換。

修改資料庫執行個體或叢集以更新 CA 憑證

1. 如中所述，下載新的SSL/TLS憑證使用SSL/TLS來加密資料庫執行個體或叢集集的連線。

2. 更新您的應用程式以使用新的SSL/TLS憑證。

   更新新SSL/TLS憑證應用程式的方法取決於您的特定應用程式。與您的應用程式開發人員合作，為您的應用程式更新SSL/TLS憑證。

   如需檢查SSL/TLS連線和更新每個 DB 引擎之應用程式的詳細資訊，請參閱下列主題：

   • 更新應用程式，以使用新的 SSL/TLS 憑證連線至 MariaDB 執行個體

   • 將應用程式更新為使用新的 SSL/TLS 憑證來連線至 Microsoft SQL Server 資料庫執行個體

   • 更新應用程序以使用新SSL/TLS證書連接到我的數據SQL庫實例

   • 更新應用程式使用新的 SSL/TLS 憑證來連線至 Oracle 資料庫執行個體

   • 更新應用程式SSL以TLS使用新/憑證連接到Postgre SQL 資料庫執行個體

   關於為 Linux 作業系統更新信任存放區的範例指令碼，請參閱將憑證匯入信任存放區的範例指令碼。

   注意

   憑證套件同時包含舊 CA 和新 CA 的憑證，讓您可以安全地更新應用程式，並在轉換期間維護連線。如果您正在使用 AWS Database Migration Service 若要將資料庫移轉至資料庫執行個體或叢集，建議您使用憑證套裝軟體，以確保移轉期間的連線能力。

3. 修改資料庫執行個體或異地同步備份資料庫叢集，將 CA 從 2019 年 RDS- ca 變更為 2048 g1。rds-ca-rsa若要檢查資料庫是否需要重新啟動才能更新 CA 憑證，請使用describe-db-engine-versions命令並檢查SupportsCertificateRotationWithoutRestart旗標。

   重要

   如果您在憑證到期後遇到連線問題，請在主控台中指定立即套用，或使用 --apply-immediately AWS CLI。 依預設，此作業會排定在下一個維護時段期間執行。

   若要為執行個體 CA 設定與預設 CA 不同的覆寫，請使用修改RDS憑證命CLI令。

您可以使用 AWS Management Console 或 AWS CLI ，將資料庫執行個體或異地同步備份資料庫叢集的 CA 憑證從 rds-ca-2019 變更為 rds-ca-rsa2048-g1。

Console

1. 登入到 AWS Management Console 並打開 Amazon RDS 控制台https://console.aws.amazon.com/rds/。

2. 在瀏覽窗格中，選擇 [資料庫]，然後選擇要修改的資料庫執行個體或異地同步備份資料庫叢集。

3. 選擇 Modify (修改)。

   

4. 在「連線」區段中，選擇「rds-ca-rsa2048 g 1」。

   

5. 選擇 Continue (繼續)，並檢查修改的摘要。

6. 若要立即套用變更，請選擇 Apply immediately (立即套用)。

7. 在確認頁面上，檢閱您的變更。如果正確無誤，請選擇 [修改資料庫執行個體] 或 [修改叢集] 以儲存變更。

   重要

   排定此操作時，請確定您事先已更新用戶端信任存放區。

   或者，選擇 Back (上一步) 以編輯變更，或是選擇 Cancel (取消) 以取消變更。

AWS CLI

若要使用 AWS CLI 若要將資料庫執行個體或異地同步備份資料庫叢集的 CA 從 rds-ca-2019 變更為 rds-ca-rsa2048-g1，請呼叫或命令。modify-db-instancemodify-db-cluster指定資料庫執行個體或叢集識別碼和選--ca-certificate-identifier項。

使用--apply-immediately參數可立即套用更新。依預設，此操作排定在下一個維護時段執行。

重要

排定此操作時，請確定您事先已更新用戶端信任存放區。

資料庫執行個體

下列範例會mydbinstance透過將 CA 憑證設定為進行修改rds-ca-rsa2048-g1。

用於 Linux, macOS，或 Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --ca-certificate-identifier rds-ca-rsa2048-g1 

用於 Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --ca-certificate-identifier rds-ca-rsa2048-g1

注意

如果您的執行個體需要重新開機，您可以使用指modify-db-instanceCLI令並指定--no-certificate-rotation-restart選項。

異地備份資料庫叢集

下列範例會mydbcluster透過將 CA 憑證設定為進行修改rds-ca-rsa2048-g1。

用於 Linux, macOS，或 Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --ca-certificate-identifier rds-ca-rsa2048-g1 

用於 Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --ca-certificate-identifier rds-ca-rsa2048-g1

透過套用維護來更新憑證授權機構憑證

執行下列步驟，透過套用維護來更新您的 CA 憑證。

Console

套用維護來更新您的 CA 憑證

1. 登入到 AWS Management Console 並打開 Amazon RDS 控制台https://console.aws.amazon.com/rds/。

2. 在功能窗格中，選擇 [憑證更新]。

   

   需要更新憑證的資料庫頁面隨即顯示。

   

   注意

   此頁面僅顯示目前的資料庫執行個體和叢集 AWS 區域。 如果您有多個資料庫 AWS 區域，檢查此頁面中的每個 AWS 區域 以查看具有舊SSL/TLS證書的所有數據庫實例。

3. 選擇您要更新的資料庫執行個體或異地同步備份資料庫叢集。

   您可以選擇排程，以排定下一個維護時段的憑證輪換。您可以選擇立即套用以立即套用輪換。

   重要

   如果在憑證到期後發生連線問題，請使用立即套用選項。

4. 1. 如果您選擇排程，系統會提示您確認 CA 憑證輪換。此提示也會指出排定的更新時段。

      

   2. 如果您選擇立即套用，系統會提示您確認 CA 憑證輪換。

      

   重要

   在您的資料庫上排定 CA 憑證輪替之前，請先更新任何使用SSL/TLS和伺服器憑證以進行連線的用戶端應用程式。這些更新專屬於您的資料庫引擎。更新這些用戶端應用程式之後，您可以確認 CA 憑證輪換。

   若要繼續，請選擇核取方塊，然後選擇 Confirm (確認)。

5. 針對您要更新的每個資料庫執行個體和叢集重複步驟 3 和 4。

自動伺服器憑證輪換

如果您的根 CA 支援自動伺服器憑證輪換，則RDS會自動處理資料庫伺服器憑證的輪替。RDS使用相同的根 CA 進行此自動旋轉，因此您不需要下載新的 CA 服務包。請參閱 憑證授權單位。

資料庫伺服器憑證的輪換和有效期取決於資料庫引擎：

• 如果您的資料庫引擎支援輪換而不重新啟RDS動，則會自動輪換資料庫伺服器憑證，而不需要您採取任何動 RDS嘗試在數據庫服務器證書半壽命的首選維護窗口中輪換數據庫服務器證書。新的資料庫伺服器憑證有效期為 12 個月。

• 如果您的資料庫引擎在未重新啟動的情況下不支援循環，請在資料庫伺服器憑證到期前至少 6 個月RDS通知您維護事件。新的資料庫伺服器憑證有效期為 36 個月。

使用命 describe-db-engine-versions令並檢查SupportsCertificateRotationWithoutRestart旗標，以識別 DB 引擎版本是否支援在不重新啟動的情況下旋轉憑證。如需詳細資訊，請參閱設定資料庫的 CA。

將憑證匯入信任存放區的範例指令碼

以下是範例 Shell 指令碼，會將憑證套件匯入信任存放區。

每個範例殼層指令碼都使用 keytool，這是 Java 開發套件 (JDK) 的一部分。如需有關安裝的資訊JDK，請參閱《JDK安裝指南》。

Linux

以下範例 Shell 指令碼將憑證套件匯入 Linux 作業系統上的信任存放區。

mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done
                

macOS

以下是範例 Shell 指令碼，會將憑證套件匯入 macOS 上的信任存放區。

mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca-

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done