Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rotation de votre TLS certificatSSL/
Les certificats RDS-CA-2019 de l'autorité de certification Amazon RDS ont expiré en août 2024. Si vous utilisez ou prévoyez d'utiliser Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) avec vérification des certificats pour vous connecter à vos instances de base de données , pensez à utiliser l'un des nouveaux certificats CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 ou 384-g1. rds-ca-ecc Si vous n'utilisez pas actuellementSSL/TLSavec la vérification des certificats, il se peut que votre certificat d'autorité de certification ait expiré et que vous deviez le remplacer par un nouveau certificat d'autorité de certification si vous envisagez d'utiliserSSL/TLSavec la vérification des certificats pour vous connecter à vos RDS bases de données.
Amazon RDS fournit de nouveaux certificats CA dans le cadre des meilleures pratiques AWS de sécurité. Pour plus d'informations sur les nouveaux certificats et les AWS régions prises en charge, consultezUtilisation TLS deSSL/pour chiffrer une connexion à une de clusters.
Pour mettre à jour le certificat CA de votre base de données, appliquez les méthodes suivantes :
Avant de mettre à jour vos instances de base de données pour utiliser le nouveau certificat CA, assurez-vous de mettre à jour vos clients ou applications qui se connectent à vos RDS bases de données.
Considérations relatives à la rotation des certificats
Tenez compte des situations suivantes avant de procéder à la rotation de votre certificat :
-
Amazon RDS Proxy et Aurora Serverless v1 use les certificats du AWS Certificate Manager (ACM). Si vous utilisez un RDS proxy, lorsque vous faites pivoter votre TLS certificatSSL/, vous n'avez pas besoin de mettre à jour les applications qui utilisent des connexions RDS proxy. Pour de plus amples informations, veuillez consulter UtiliserTLS/SSLavec un RDS proxy.
-
Si vous utilisez Aurora Serverless v1, le téléchargement de RDS certificats Amazon n'est pas obligatoire. Pour de plus amples informations, veuillez consulter TLSSSLUtiliser/avec Aurora Serverless v1.
-
Si vous utilisez une application Go version 1.15 avec une instance de base de données créé ou mis à jour vers le certificat rds-ca-2019 avant le 28 juillet 2020, vous devez à nouveau mettre à jour le certificat.
Utilisez la
modify-db-instance
commande , en utilisant le nouvel identifiant de certificat CA. Vous pouvez trouver ceux CAs qui sont disponibles pour un moteur de base de données et une version de moteur de base de données spécifiques à l'aide de ladescribe-db-engine-versions
commande.Si vous avez créé votre base de données ou mis à jour son certificat après le 28 juillet 2020, aucune action n'est requise. Pour plus d'informations, consultez Go GitHub issue #39568
.
Mettre à jour votre certificat CA en modifiant votre instance de base de données
L'exemple suivant met à jour votre certificat CA de rds-ca-2019 à 2048-g1. rds-ca-rsa Vous pouvez choisir un autre certificat. Pour de plus amples informations, veuillez consulter Autorités de certification.
Mettez à jour le magasin de confiance de votre application afin de réduire les temps d'arrêt associés à la mise à jour de votre certificat CA. Pour plus d'informations sur les redémarrages associés à la rotation des certificats CA, consultezRotation automatique du certificat de serveur.
Pour mettre à jour votre certificat CA en modifiant votre instance de base de données
-
Téléchargez le nouveau TLS certificatSSL/comme décrit dansUtilisation TLS deSSL/pour chiffrer une connexion à une de clusters.
-
Mettez à jour vos applications pour utiliser le nouveau TLS certificat SSL /.
Les méthodes de mise à jour des applications pour les nouveaux TLS certificatsSSL/dépendent de vos applications spécifiques. Collaborez avec les développeurs de vos applications pour mettre à jour les TLS certificatsSSL/de vos applications.
Pour plus d'informations sur la vérification des TLS connexionsSSL/et la mise à jour des applications pour chaque moteur de base de données, consultez les rubriques suivantes :
Pour obtenir un exemple de script qui met à jour le magasin d'approbations d'un système d'exploitation Linux, consultez Exemple de script pour importer les certificats dans votre magasin d'approbations.
Note
L'ensemble de certificats contient des certificats pour le nouveau et l'ancien CA, ce qui signifie que vous pouvez mettre à niveau votre application en toute sécurité et conserver la connectivité pendant la période de transition. Si vous utilisez le AWS Database Migration Service pour migrer une base de données vers une de clusters, nous vous recommandons d'utiliser le bundle de certificats pour garantir la connectivité pendant la migration.
-
Modifiez l'instance de base de données l'autorité de certification de rds-ca-2019 à 2048-g1. rds-ca-rsa Pour vérifier si votre base de données doit être redémarrée pour mettre à jour les certificats CA, utilisez la describe-db-engine-versionscommande et cochez l'
SupportsCertificateRotationWithoutRestart
indicateur.Note
Redémarrez votre cluster Babelfish après l'avoir modifié pour mettre à jour le certificat CA.
Important
Si vous rencontrez des problèmes de connectivité après l'expiration du certificat, utilisez l'option Appliquer immédiatement en la spécifiant dans la console ou en spécifiant l'option
--apply-immediately
à l'aide d' AWS CLI. Par défaut, il est prévu que cette opération soit exécutée pendant votre prochaine fenêtre de maintenance.Pour définir une dérogation pour l'autorité de certification de votre de cluster différente de l'autorité de RDS certification par défaut, utilisez la commande modify-certificatesCLI.
Mise à jour de votre certificat CA en appliquant la maintenance
Procédez comme suit pour mettre à jour votre certificat CA en appliquant la maintenance.
Rotation automatique du certificat de serveur
Si votre autorité de certification racine prend en charge la rotation automatique des certificats de serveur, gère RDS automatiquement la rotation du certificat de serveur de base de données. RDSutilise la même autorité de certification racine pour cette rotation automatique, vous n'avez donc pas besoin de télécharger un nouveau bundle d'autorités de certification. Consultez Autorités de certification.
La rotation et la validité de votre certificat de serveur de base de données dépendent de votre moteur de base de données :
-
Si votre moteur de base de données prend en charge la rotation sans redémarrage, fait RDS automatiquement pivoter le certificat du serveur de base de données sans aucune action de votre part. RDStente de faire pivoter votre certificat de serveur de base de données pendant votre période de maintenance préférée pendant la demi-vie du certificat de serveur de base de données. Le nouveau certificat de serveur de base de données est valide pendant 12 mois.
-
Si votre moteur de base de données ne prend pas en charge la rotation sans redémarrage, il vous RDS avertit d'un événement de maintenance au moins 6 mois avant l'expiration du certificat du serveur de base de données. Le nouveau certificat de serveur de base de données est valide pendant 36 mois.
Utilisez la describe-db-engine-versionscommande et inspectez l'SupportsCertificateRotationWithoutRestart
indicateur pour déterminer si la version du moteur de base de données prend en charge la rotation du certificat sans redémarrage. Pour de plus amples informations, veuillez consulter Configuration de l'autorité de certification pour votre base de données.
Exemple de script pour importer les certificats dans votre magasin d'approbations
Voici des exemples de scripts shell qui importent le lot de certificats dans un magasin d'approbations.
Chaque exemple de script shell utilise keytool, qui fait partie du kit de développement Java (JDK). Pour plus d'informations sur l'installation duJDK, consultez le Guide JDK d'installation
Pour en savoir plus sur les meilleures pratiques relatives à l'utilisation SSL avec AmazonRDS, consultez la section Meilleures pratiques pour SSL des connexions réussies à Amazon RDS pour Oracle