Ihr SSL TLS /-Zertifikat rotieren - Amazon Relational Database Service
Überlegungen zur Rotation von ZertifikatenAktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance oder Ihres ClustersAktualisieren des CA-Zertifikats durch Anwenden der WartungRotation von ServerzertifikatenBeispielskript für den Import von Zertifikaten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ihr SSL TLS /-Zertifikat rotieren

Die Zertifikate der Amazon RDS Certificate Authority rds-ca-2019 sind im August 2024 abgelaufen. Wenn Sie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) mit Zertifikatsüberprüfung verwenden oder dies planen, um eine Verbindung zu Ihren RDS DB-Instances oder Multi-AZ-DB-Clustern herzustellen, sollten Sie die Verwendung eines der neuen CA-Zertifikate rds-ca-rsa 2048-g1, 4096-g1 oder 384-g1 in Betracht ziehen. rds-ca-rsa rds-ca-ecc Wenn Sie derzeitSSL/nicht TLS mit der Zertifikatsüberprüfung verwenden, haben Sie möglicherweise immer noch ein abgelaufenes CA-Zertifikat und müssen es auf ein neues CA-Zertifikat aktualisieren, wenn SieSSL/TLSmit Zertifikatsverifizierung verwenden möchten, um eine Verbindung zu Ihren Datenbanken herzustellen. RDS

Amazon RDS stellt neue CA-Zertifikate als bewährte AWS Sicherheitsmethode zur Verfügung. Informationen zu den neuen Zertifikaten und den unterstützten AWS Regionen finden Sie unter.

Verwenden Sie die folgenden Methoden, um das CA-Zertifikat für Ihre Datenbank zu aktualisieren:

Bevor Sie Ihre DB-Instances oder Multi-AZ-DB-Cluster für die Verwendung des neuen CA-Zertifikats aktualisieren, stellen Sie sicher, dass Sie Ihre Clients oder Anwendungen aktualisieren, die eine Verbindung zu Ihren RDS Datenbanken herstellen.

Überlegungen zur Rotation von Zertifikaten

Berücksichtigen Sie die folgenden Situationen, bevor Sie Ihr Zertifikat rotieren:

  • Amazon RDS Proxy verwendet Zertifikate von AWS Certificate Manager (ACM). Wenn Sie RDS Proxy verwenden, müssen Sie beim Rotieren Ihres SSL TLS /-Zertifikats keine Anwendungen aktualisieren, die RDS Proxy-Verbindungen verwenden. Weitere Informationen finden Sie unter TLS/SSLmit RDS Proxy verwenden.

  • Wenn Sie eine Go-Anwendung der Version 1.15 mit einer DB-Instance oder einem Multi-AZ-DB-Cluster verwenden, der vor dem 28. Juli 2020 erstellt oder auf das rds-ca-2019-Zertifikat aktualisiert wurde, müssen Sie das Zertifikat erneut aktualisieren.

    Verwenden Sie den modify-db-instance Befehl für eine DB-Instance oder den Befehl für einen Multi-AZ-DB-Cluster unter Verwendung der neuen modify-db-cluster CA-Zertifikats-ID. Mithilfe des describe-db-engine-versions Befehls können Sie herausfindenCAs, welche für eine bestimmte DB-Engine und DB-Engine-Version verfügbar sind.

    Wenn Sie Ihre Datenbank nach dem 28. Juli 2020 erstellt oder ihr Zertifikat aktualisiert haben, sind keine Maßnahmen erforderlich. Weitere Informationen finden Sie in GitHub Go-Ausgabe #39568.

Aktualisierung Ihres CA-Zertifikats durch Änderung Ihrer DB-Instance oder Ihres Clusters

Im folgenden Beispiel wird Ihr CA-Zertifikat von rds-ca-2019 auf 2048-g1 aktualisiert. rds-ca-rsa Sie können ein anderes Zertifikat wählen. Weitere Informationen finden Sie unter Zertifizierungsstellen.

Aktualisieren Sie Ihren Application Trust Store, um Ausfallzeiten im Zusammenhang mit der Aktualisierung Ihres CA-Zertifikats zu reduzieren. Weitere Informationen zu Neustarts im Zusammenhang mit der Rotation von CA-Zertifikaten finden Sie unterAutomatische Rotation von Serverzertifikaten.

So aktualisieren Sie Ihr CA-Zertifikat, indem Sie Ihre DB-Instance oder Ihren Cluster ändern

  1. Laden Sie das neue SSL TLS /-Zertifikat herunter, wie unter beschrieben.

  2. Aktualisieren Sie Ihre Anwendungen so, dass sie das neue SSL TLS /-Zertifikat verwenden.

    Die Methoden zur Aktualisierung von Anwendungen für neue SSL TLS /-Zertifikate hängen von Ihren spezifischen Anwendungen ab. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um die SSL TLS /-Zertifikate für Ihre Anwendungen zu aktualisieren.

    Informationen zur Suche nach SSL TLS /-Verbindungen und zur Aktualisierung von Anwendungen für die einzelnen DB-Engines finden Sie in den folgenden Themen:

    Ein Beispielskript, das einen Trust Store für ein Linux-Betriebssystem aktualisiert, finden Sie unter Beispielskript für den Import von Zertifikaten in Ihren Trust Store.

    Anmerkung

    Das Zertifikat-Bundle enthält Zertifikate für die neue und die alte CA, damit Sie Ihre Anwendung sicher aktualisieren und die Verbindung während der Übergangsphase aufrecht erhalten können. Wenn Sie das verwenden, um eine Datenbank AWS Database Migration Service zu einer DB-Instance oder einem zu migrieren, empfehlen wir die Verwendung des Zertifikatspakets, um die Konnektivität während der Migration sicherzustellen.

  3. Ändern Sie die DB-Instance oder den Multi-AZ-DB-Cluster, um die CA von rds-ca-2019 auf 2048-g1 zu ändern. rds-ca-rsa Um zu überprüfen, ob Ihre Datenbank zum Aktualisieren der CA-Zertifikate neu gestartet werden muss, verwenden Sie den Befehl und überprüfen Sie das Flag. describe-db-engine-versionsSupportsCertificateRotationWithoutRestart

    Wichtig

    Wenn nach dem Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option „Sofort anwenden“, indem Sie Sofort anwenden in der Konsole angeben oder die Option --apply-immediately mit der AWS CLI festlegen. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.

    RDSFür Oracle-DB-Instances empfehlen wir, dass Sie Ihre Oracle-DB neu starten, um Verbindungsfehler zu vermeiden.

    Verwenden Sie den Befehl CLImodify-certificates, um eine Überschreibung für Ihre festzulegen, die sich von der Standard-CA unterscheidet.

Sie können den AWS Management Console oder verwenden, AWS CLI um das CA-Zertifikat für eine DB-Instance oder einen Multi-AZ-DB-Cluster von rds-ca-2019 auf rds-ca-rsa2048-g1 zu ändern.

Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken und dann die DB-Instance oder den Multi-AZ-DB-Cluster aus, den Sie ändern möchten.

  3. Wählen Sie Ändern aus.

    Ändern Sie die DB-Instance oder den Multi-AZ-DB-Cluster

  4. Wählen Sie im Abschnitt Konnektivität die Option rds-ca-rsa2048-g1 aus.

    CA-Zertifikat auswählen

  5. Klicken Sie auf Weiter und überprüfen Sie die Zusammenfassung aller Änderungen.

  6. Wählen Sie Sofort anwenden aus, um die Änderungen sofort anzuwenden.

  7. Überprüfen Sie auf der Bestätigungsseite Ihre Änderungen. Wenn sie korrekt sind, wählen Sie Modify DB Instance oder Modify cluster, um Ihre Änderungen zu speichern.

    Wichtig

    Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.

    Oder klicken Sie auf Zurück, um Ihre Änderungen zu bearbeiten, oder auf Abbrechen, um Ihre Änderungen zu verwerfen.

AWS CLI

AWS CLI Um die CA für eine DB-Instance oder einen Multi-AZ-DB-Cluster von rds-ca-2019 auf rds-ca-rsa2048-g1 zu ändern, rufen Sie den Befehl or auf. modify-db-instancemodify-db-cluster Geben Sie die DB-Instance- oder Cluster-ID und die Option an. --ca-certificate-identifier

Verwenden Sie den --apply-immediately Parameter, um das Update sofort anzuwenden. Die Ausführung dieser Operation ist standardmäßig während Ihres nächsten Wartungsfensters eingeplant.

Wichtig

Wenn Sie diese Operation planen, stellen Sie sicher, dass Sie zuvor Ihren clientseitigen Vertrauensspeicher aktualisiert haben.

DB-Instance

Im folgenden Beispiel wird die Änderung vorgenommen, mydbinstance indem das CA-Zertifikat auf rds-ca-rsa2048-g1 festgelegt wird.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --ca-certificate-identifier rds-ca-rsa2048-g1

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --ca-certificate-identifier rds-ca-rsa2048-g1
Anmerkung

Wenn Ihre Instance neu gestartet werden muss, können Sie den modify-db-instanceCLIBefehl verwenden und die --no-certificate-rotation-restart Option angeben.

Multi-AZ-DB-Cluster

Im folgenden Beispiel wird die Änderung vorgenommen, mydbcluster indem das CA-Zertifikat auf festgelegt wird. rds-ca-rsa2048-g1

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --ca-certificate-identifier rds-ca-rsa2048-g1

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --ca-certificate-identifier rds-ca-rsa2048-g1

Aktualisieren des CA-Zertifikats durch Anwenden der Wartung

Führen Sie die folgenden Schritte aus, um Ihr CA-Zertifikat zu aktualisieren, indem Sie die Wartung durchführen.

Console
Um Ihr CA-Zertifikat zu aktualisieren, indem Sie Wartungsarbeiten durchführen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich die Option Certificate update aus.

    Option zur Zertifikatrotation im Navigationsbereich

    Die Seite Datenbanken, die eine Zertifikataktualisierung erfordern wird angezeigt.

    Aktualisieren Sie das CA-Zertifikat für die Datenbank
    Anmerkung

    Auf dieser Seite werden nur die aktuellen DB-Instances und -Cluster angezeigt AWS-Region. Wenn Sie Datenbanken in mehr als einer haben AWS-Region, überprüfen Sie diese Seite auf jeder Seite, AWS-Region um alle DB-Instances mit alten SSL TLS /-Zertifikaten zu sehen.

  3. Wählen Sie die DB-Instance oder den Multi-AZ-DB-Cluster aus, den Sie aktualisieren möchten.

    Sie können die Zertifikatrotation für das nächste Wartungsfenster planen, indem Sie Zeitplan wählen. Wenden Sie die Rotation sofort an, indem Sie Jetzt anwenden wählen.

    Wichtig

    Wenn nach Ablauf des Zertifikats Verbindungsprobleme auftreten, verwenden Sie die Option Jetzt anwenden.

    1. Wenn Sie Zeitplan wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen. In dieser Aufforderung wird auch das geplante Fenster für das Update angegeben.

      Confirm certificate rotation (Zertifikatrotation bestätigen)

    2. Wenn Sie Jetzt anwenden wählen, werden Sie aufgefordert, die Rotation der CA-Zertifikate zu bestätigen.

      Confirm certificate rotation (Zertifikatrotation bestätigen)
    Wichtig

    Bevor Sie die Rotation der CA-Zertifikate für Ihre Datenbank planen, aktualisieren Sie alle Client-Anwendungen, dieSSL/TLSund das Serverzertifikat für die Verbindung verwenden. Diese Updates sind spezifisch für Ihre DB-Engine. Nachdem Sie diese Clientanwendungen aktualisiert haben, können Sie die Rotation des CA-Zertifikats bestätigen.

    Aktivieren Sie das Kontrollkästchen und klicken Sie dann auf Confirm (Bestätigen), um fortzufahren.

  5. Wiederholen Sie die Schritte 3 und 4 für jede DB-Instance und jeden Cluster, den Sie aktualisieren möchten.

Automatische Rotation von Serverzertifikaten

Wenn Ihre Stammzertifizierungsstelle die automatische Rotation von Serverzertifikaten unterstützt, übernimmt sie RDS automatisch die Rotation des DB-Serverzertifikats. RDSverwendet dieselbe Stammzertifizierungsstelle für diese automatische Rotation, sodass Sie kein neues CA-Paket herunterladen müssen. Siehe Zertifizierungsstellen.

Die Rotation und Gültigkeit Ihres DB-Serverzertifikats hängen von Ihrer DB-Engine ab:

  • Wenn Ihre DB-Engine die Rotation ohne Neustart unterstützt, RDS wird das DB-Serverzertifikat automatisch rotiert, ohne dass Sie etwas unternehmen müssen. RDSversucht, Ihr DB-Serverzertifikat in Ihrem bevorzugten Wartungsfenster nach der Halbwertszeit des DB-Serverzertifikats zu rotieren. Das neue DB-Serverzertifikat ist 12 Monate lang gültig.

  • Wenn Ihre DB-Engine die Rotation ohne Neustart nicht unterstützt, werden Sie mindestens 6 Monate vor Ablauf des DB-Serverzertifikats über ein Wartungsereignis RDS informiert. Das neue DB-Serverzertifikat ist 36 Monate lang gültig.

Verwenden Sie den describe-db-engine-versionsBefehl und überprüfen Sie das SupportsCertificateRotationWithoutRestart Kennzeichen, um festzustellen, ob die DB-Engine-Version die Rotation des Zertifikats ohne Neustart unterstützt. Weitere Informationen finden Sie unter Einstellung der CA für Ihre Datenbank.

Beispielskript für den Import von Zertifikaten in Ihren Trust Store

Nachfolgend sind Beispiel-Shell-Skripte aufgeführt, die das Zertifikatspaket in einen Vertrauensspeicher importieren.

Jedes Shell-Beispielskript verwendet Keytool, das Teil des Java Development Kit (JDK) ist. Informationen zur Installation von finden Sie im JDK JDKInstallationshandbuch.

Linux

Nachfolgend finden Sie ein Beispiel-Shell-Skript, das das Zertifikatpaket in einen Trust Store auf einem Linux-Betriebssystem importiert.


mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1}{print > "rds-ca-" n+1 ".pem"}' < ${mydir}/global-bundle.pem

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done
macOS

Es folgt ein Beispiel für ein Shell-Skript, das das Zertifikatspaket in einen Vertrauensspeicher unter macOS importiert.


mydir=tmp/certs
if [ ! -e "${mydir}" ]
then
mkdir -p "${mydir}"
fi

truststore=${mydir}/rds-truststore.jks
storepassword=changeit

curl -sS "https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem" > ${mydir}/global-bundle.pem
split -p "-----BEGIN CERTIFICATE-----" ${mydir}/global-bundle.pem rds-ca-

for CERT in rds-ca-*; do
  alias=$(openssl x509 -noout -text -in $CERT | perl -ne 'next unless /Subject:/; s/.*(CN=|CN = )//; print')
  echo "Importing $alias"
  keytool -import -file ${CERT} -alias "${alias}" -storepass ${storepassword} -keystore ${truststore} -noprompt
  rm $CERT
done

rm ${mydir}/global-bundle.pem

echo "Trust store content is: "

keytool -list -v -keystore "$truststore" -storepass ${storepassword} | grep Alias | cut -d " " -f3- | while read alias 
do
   expiry=`keytool -list -v -keystore "$truststore" -storepass ${storepassword} -alias "${alias}" | grep Valid | perl -ne 'if(/until: (.*?)\n/) { print "$1\n"; }'`
   echo " Certificate ${alias} expires in '$expiry'" 
done