將 SSL 連線轉換為使用 ACM 憑證

Amazon Redshift 將會以 AWS Certificate Manager (ACM) 發行的憑證取代您叢集上的 SSL 憑證。ACM 是大多數現行系統信任的公有憑證授權機構 (CA)。您可能需要更新目前的信任根 CA 憑證，才能繼續使用 SSL 連線到叢集。

只有在下列所有情況都存在時，此變更才會影響您：

• SQL 用戶端或應用程式使用 SSL 來連接至 Amazon Redshift 叢集，且 sslMode 連線選項設為 require、verify-ca 或 verify-full 組態選項。

• 您不使用 Amazon Redshift ODBC 或 JDBC 驅動程式，或使用的 Amazon Redshift 驅動程式是 ODBC 1.3.7.1000 版或 JDBC 1.2.8.1005 版以前。

如果此變更會在 Amazon Redshift 商業區域影響到您，則您必須在 2017 年 10 月 23 日之前更新目前的信任根 CA 憑證。Amazon Redshift 會從現在開始到 2017 年 10 月 23 日之前，將您的叢集轉換為使用 ACM 憑證。此變更對叢集效能或可用性的影響應該非常小，或完全不影響。

如果此變更在 AWS GovCloud (US) (美國) 區域影響您，則您必須在 2020 年 4 月 1 日之前更新目前的信任根 CA 憑證，以避免服務中斷。從這個日期起，使用 SSL 加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權單位 (CA)。用戶端在連線到 Amazon Redshift 叢集時，會使用受信任的憑證授權單位來確認該叢集的身分。您必須採取動作，才能更新 SQL 用戶端和應用程式，以使用包含新信任 CA 的更新憑證套件。

重要

在 2021 年 1 月 5 日的中國區域，Amazon Redshift 將以 AWS Certificate Manager (ACM) 核發的憑證取代叢集上的 SSL 憑證。如果此變更會在中國 (北京) 區域或中國 (寧夏) 區域影響到您，則您必須在 2021 年 1 月 5 日之前更新目前的信任根 CA 憑證，以避免服務中斷。從這個日期起，使用 SSL 加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權單位 (CA)。用戶端在連線到 Amazon Redshift 叢集時，會使用受信任的憑證授權單位來確認該叢集的身分。您必須採取動作，才能更新 SQL 用戶端和應用程式，以使用包含新信任 CA 的更新憑證套件。

• 使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式

• 使用較舊的 Amazon Redshift ODBC 或 JDBC 驅動程式

• 使用其他 SSL 連線類型

使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式

建議使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式。從 ODBC 1.3.7.1000 版和 JDBC 1.2.8.1005 版開始的 Amazon Redshift 驅動程式，將會自動處理從 Amazon Redshift 自簽憑證轉換到 ACM 憑證。若要下載最新的驅動程式，請參閱設定 ODBC 連線或設定 Amazon Redshift JDBC 驅動程式 2.1 版的連線。

如果您使用最新的 Amazon Redshift JDBC 驅動程式，最好不要在 JVM 選項中使用 -Djavax.net.ssl.trustStore。如果您必須使用 -Djavax.net.ssl.trustStore，請將 Redshift 憑證授權機構套件匯入其指向的信任憑證庫。如需下載資訊，請參閱 使用 SSL 連線。如需詳細資訊，請參閱 將 Amazon Redshift 證書授權單位服務包導入 TrustStore。

使用較舊的 Amazon Redshift ODBC 或 JDBC 驅動程式

• 如果 ODBC DSN 設定為 SSLCertPath，請覆寫指定路徑中的憑證檔案。

• 如果未設定 SSLCertPath，請覆寫驅動程式 DLL 位置中名為 root.crt 的憑證檔案。

如果您必須使用的 1.2.8.1005 版以前的 Amazon Redshift JDBC 驅動程式，請執行下列其中一個動作：

• 如果 JDBC 連線字串使用 sslCert 選項，請移除 sslCert 選項。然後將 Redshift 憑證授權單位套件匯入您的 Java TrustStore。如需下載資訊，請參閱 使用 SSL 連線。如需詳細資訊，請參閱 將 Amazon Redshift 證書授權單位服務包導入 TrustStore。

• 如果您使用 Java 命令列 -Djavax.net.ssl.trustStore 選項，可能的話，請從命令列中移除。然後將 Redshift 憑證授權單位套件匯入您的 Java TrustStore。如需下載資訊，請參閱 使用 SSL 連線。如需詳細資訊，請參閱 將 Amazon Redshift 證書授權單位服務包導入 TrustStore。

將 Amazon Redshift 證書授權單位服務包導入 TrustStore

您可以使用redshift-keytool.jar將 Amazon Redshift 憑證授權單位服務包中的 CA 憑證匯入 Java TrustStore 或您的私有信任存放區。

若要將 Amazon Redshift 憑證授權單位服務包匯入 TrustStore

1. 下載 redshift-keytool.jar。

2. 執行以下任意一項：

   • 若要將 Amazon Redshift 憑證授權單位服務包匯入 Java TrustStore，請執行下列命令。

     java -jar redshift-keytool.jar -s

   • 若要將 Amazon Redshift 憑證授權單位服務包匯入您的私有伺服器 TrustStore，請執行下列命令：

     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 

使用其他 SSL 連線類型

如果您使用下列任何一項來連接，請遵循本節的步驟：

• 開放原始碼 ODBC 驅動程式

• 開放原始碼 JDBC 驅動程式

• Amazon Redshift RSQL 命令列界面

• 任何以 libpq 為基礎的語言繫結，例如 psycopg2 (Python) 和 ruby-pg (Ruby)

若要對其他 SSL 連線類型使用 ACM 憑證，請執行下列動作：

1. 下載 Amazon Redshift 憑證授權機構套件。如需下載資訊，請參閱 使用 SSL 連線。

2. 將套件中的憑證放入 root.crt 檔案中。

   • 在 Linux 和 macOS X 作業系統上，此檔案是 ~/.postgresql/root.crt。

   • 在 Microsoft Windows 上，此檔案是 %APPDATA%\postgresql\root.crt。