對 SSL/TLS 連線建立問題進行疑難排解

Amazon DynamoDB 正在移動端點，以便保護由 Amazon Trust Services (ATS) 憑證授權機構而非第三方憑證授權機構所簽署的憑證。2017 年 12 月，我們推出 EU-WEST-3 (巴黎) 區域，附有由 Amazon Trust Services 發行的安全憑證。所有於 2017 年 12 月之後推出的新區域都具有附帶 Amazon Trust Services 發行的憑證的終端節點。本指南說明如何對 SSL/TLS 連線建立問題進行驗證和疑難排解。

測試您的應用程式或服務

大多數 AWS 開發套件和命令列界面 (CLI) 都支援 Amazon 信任服務憑證授權單位。如果您使用的是在二零一三年十月二十九日之前發行的開發 AWS 套件版本，您必須升級。.NET，Java，PHP JavaScript，圍棋和 C ++ SDK 和 CLI 不捆綁任何證書，它們的證書來自基礎操作系統。自 2015 年 6 月 10 日起，Ruby 開發套件已包含至少一個必要 CA。在該日期之前，Ruby 第 2 版開發套件並無憑證套件。如果您使用 AWS SDK 的不受支援、自訂或修改版本，或使用自訂信任存放區，則可能沒有 Amazon 信任服務憑證授權單位所需的支援。

若要驗證能否存取 DynamoDB 端點，您需要進行測試來存取 EU-WEST-3 區域中的 DynamoDB API 或 DynamoDB Streams API，並驗證 TLS 交握是否成功。您需要在這種測試中存取的特定端點是：

• DynamoDB：https://dynamodb.eu-west-3.amazonaws.com

• DynamoDB Streams：https://streams.dynamodb.eu-west-3.amazonaws.com

如果應用程式不支援 Amazon Trust Services 憑證授權機構 (CA)，則會看到下列其中一項失敗：

• SSL/TLS 溝通錯誤

• 在軟體收到錯誤指出 SSL/TLS 溝通失敗之前，會有長時間延遲。延遲時間依用戶端的重試策略和逾時組態而定。

測試您的用戶端瀏覽器

若要確認瀏覽器是否可連線到 Amazon DynamoDB，請開啟以下網址：https://dynamodb.eu-west-3.amazonaws.com。如果測試成功，則會看到如下的訊息：

healthy: dynamodb.eu-west-3.amazonaws.com

如果測試不成功，則會顯示類似以下內容的錯誤：https://untrusted-root.badssl.com/。

更新您的軟體應用程式用戶端

如果應用程式尚未支援下列任何 CA，則在存取 DynamoDB 或 DynamoDB Streams API 端點時 (無論是透過瀏覽器還是編寫程式的方式)，均需更新用戶端機器上的信任 CA 清單：

• Amazon 根 CA 1

• Starfield Services 根憑證授權機構：G2

• Starfield 類別 2 憑證授權機構

如果用戶端已經信任上述三個 CA 之中的任一個，則這些用戶端會信任 DynamoDB 使用的憑證，不需要進行任何動作。不過，如果用戶端尚未信任上述任何 CA，則與 DynamoDB 或 DynamoDB Streams API 的 HTTPS 連線將會失敗。欲了解更多信息，請訪問此博客文章：https://aws.amazon.com/blogs/security/ how-to-prepare-for aws-move-to-its--own-certificate-authority/.

更新您的用戶端瀏覽器

只要更新瀏覽器即可更新瀏覽器中的憑證套件。常用瀏覽器的說明可以在瀏覽器網站上找到：

• Chrome：https://support.google.com/chrome/answer/95414?hl=en

• 火狐瀏覽器:https://support.mozilla.org/en-US/kb/ update-firefox-latest-version

• Safari：https://support.apple.com/en-us/HT204416

• 互聯網瀏覽器:https://support.microsoft.com/en-us/help/17295/ windows-internet-explorer-which 版本 #ie = 其他

手動更新您的憑證套件

如果您無法存取 DynamoDB API 或 DynamoDB Streams API，則需要更新憑證服務包。為此，您需要匯入至少一個必要 CA。您可以在此尋找這些 CA：https://www.amazontrust.com/repository/。

下列作業系統和程式設計語言支援 Amazon Trust Services 憑證授權機構：

• 具備自 2005 年 1 月起之更新的 Microsoft Windows 版本，Windows Vista、Windows 7、Windows Server 2008 和更新版本。

• Mac OS X 10.4 搭配 Java for MacOS X 10.4 第 5 版、Mac OS X 10.5 和更新版本。

• Red Hat Enterprise Linux 5 (2007 年 3 月)、Linux 6 和 Linux 7 以及 CentOS 5、CentOS 6、CentOS 7

• Ubuntu 8.10

• Debian 5.0

• Amazon Linux (所有版本)

• Java 1.4.2_12、Java 5 更新版本 2 及所有更新版本，包括 Java 6、Java 7、Java 8

如果您仍然無法連線，請參閱您的軟體文件、作業系統廠商，或聯絡 Sup AWS port https://aws.amazon.com/support 以取得進一步協助。