ProblembehandlungSSL//Probleme TLS beim Verbindungsaufbau mit DynamoDB - Amazon-DynamoDB
Testen Ihrer Anwendung oder Ihres ServicesTesten des Client-BrowsersAktualisieren des Software-AnwendungsclientsAktualisieren Ihres ClientbrowsersManuelles Aktualisieren Ihres Zertifikatpakets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ProblembehandlungSSL//Probleme TLS beim Verbindungsaufbau mit DynamoDB

Amazon DynamoDB ist dabei, unsere Endgeräte auf sichere Zertifikate umzustellen, die von der Amazon Trust Services (ATS) Certificate Authority statt von einer Drittanbieter-Zertifizierungsstelle signiert wurden. Im Dezember 2017 haben wir die Region WEST EU-3 (Paris) mit den von Amazon Trust Services ausgestellten sicheren Zertifikaten eingeführt. Alle neuen Regionen, die nach Dezember 2017 gestartet wurden, verfügen über Endpunkte mit den von Amazon Trust Services ausgestellten Zertifikaten. In diesem Handbuch erfahren Sie, wie Sie TLS Verbindungsprobleme überprüfen SSL und beheben können.

Testen Ihrer Anwendung oder Ihres Services

Die meisten AWS SDKs Befehlszeilenschnittstellen (CLIs) unterstützen die Amazon Trust Services Certificate Authority. Wenn Sie eine Version von AWS SDK for Python verwenden oder vor dem 29. Oktober 2013 CLI veröffentlicht wurden, müssen Sie ein Upgrade durchführen. Das. NET, Java PHP JavaScript, Go und C++ SDKs und bündeln CLIs keine Zertifikate, ihre Zertifikate stammen aus dem zugrunde liegenden Betriebssystem. Das Ruby enthält SDK CAs seit dem 10. Juni 2015 mindestens eines der erforderlichen. Vor diesem Datum wurden in Ruby V2 SDK keine Zertifikate gebündelt. Wenn Sie eine nicht unterstützte, benutzerdefinierte oder modifizierte Version von verwenden oder wenn Sie einen benutzerdefinierten Trust Store verwenden AWS SDK, verfügen Sie möglicherweise nicht über den Support, den Sie für die Amazon Trust Services Certificate Authority benötigen.

Um den Zugriff auf DynamoDB-Endpunkte zu validieren, müssen Sie einen Test entwickeln, der auf DynamoDB- API oder DynamoDB Streams API in der WEST EU-3-Region zugreift, und überprüfen, ob der Handshake erfolgreich ist. TLS Die spezifischen Endpunkte, auf die Sie in einem solchen Test zugreifen müssen, sind:

Wenn Ihre Anwendung die Amazon-Trust-Services-Zertifizierungsstelle nicht unterstützt, wird einer der folgenden Fehler angezeigt:

  • SSL/Verhandlungsfehler TLS

  • Es dauert lange, bis Ihre Software einen Fehler erhält, der auf einen Fehler bei SSL der TLS Aushandlung hinweist. Die Verzögerungszeit hängt von der Wiederholungsstrategie und der Timeout-Konfiguration Ihres Clients ab.

Testen des Client-Browsers

Um zu überprüfen, ob Ihr Browser eine Verbindung zu Amazon DynamoDB herstellen kann, öffnen Sie Folgendes:URL. https://dynamodb.eu-west-3.amazonaws.com Wenn der Test erfolgreich ist, sehen Sie eine Meldung wie diese: 

healthy: dynamodb.eu-west-3.amazonaws.com

Wenn der Test nicht erfolgreich ist, wird ein Fehler ähnlich dem folgenden angezeigt:https://untrusted-root.badssl.com/.

Aktualisieren des Software-Anwendungsclients

Anwendungen, die auf DynamoDB- oder DynamoDB API Streams-Endpunkte zugreifen (ob über Browser oder programmgesteuert), müssen die Liste der vertrauenswürdigen Zertifizierungsstellen auf den Client-Computern aktualisieren, sofern sie nicht bereits eine der folgenden Funktionen unterstützen: CAs

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certification Authority

Wenn die Clients den oben genannten drei CAs bereits vertrauen, vertrauen diese den ANY von DynamoDB verwendeten Zertifikaten, und es sind keine Maßnahmen erforderlich. Wenn Ihre Clients jedoch noch keinem der oben genannten Punkte vertrauenCAs, schlagen die HTTPS Verbindungen zu den DynamoDB- oder DynamoDB Streams fehl. APIs Weitere Informationen finden Sie in diesem Blogbeitrag: https://aws.amazon.com/blogs/how-to-prepare-forsecurity/ - -/. aws-move-to-its own-certificate-authority

Aktualisieren Ihres Clientbrowsers

Sie können das Zertifikatspaket in Ihrem Browser einfach aktualisieren, indem Sie Ihren Browser aktualisieren. Anweisungen für die gängigsten Browser finden Sie auf den Webseiten der Browser:

Manuelles Aktualisieren Ihres Zertifikatpakets

Wenn Sie nicht auf die DynamoDB API - oder DynamoDB Streams zugreifen können, müssen API Sie Ihr Zertifikatspaket aktualisieren. Dazu müssen Sie mindestens eines der erforderlichen importieren. CAs Sie finden diese unter https://www.amazontrust.com/repository/.

Die folgenden Betriebssysteme und Programmiersprachen unterstützen Amazon-Trust-Services-Zertifikate:

  • Windows Versionen, auf denen Updates vom Januar 2005 oder höher installiert sind, Windows Vista, Windows 7, Windows Server 2008 oder neuere Versionen.

  • MacOS X 10.4 mit Java für MacOS X 10.4 Release 5, MacOS X 10.5 und neuere Versionen.

  • Red Hat Enterprise Linux 5 (März 2007), Linux 6 und Linux 7 und CentOS 5, CentOS 6 und CentOS 7

  • Ubuntu 8.10

  • Debian 5.0

  • Amazon Linux (Alle Versionen)

  • Java 1.4.2_12, Java 5 Update 2 und alle neueren Versionen, einschließlich Java 6, Java 7 und Java 8

Wenn Sie immer noch keine Verbindung herstellen können, schlagen Sie in der Softwaredokumentation oder beim Betriebssystemanbieter nach, oder wenden Sie sich an AWS Support https://aws.amazon.com/Support, um weitere Unterstützung zu erhalten.