Transisi ke sertifikat ACM untuk koneksi SSL - Amazon Redshift
Menggunakan driver Amazon Redshift ODBC atau JDBC terbaruMenggunakan driver Amazon Redshift ODBC atau JDBC sebelumnyaMenggunakan jenis koneksi SSL lainnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Transisi ke sertifikat ACM untuk koneksi SSL

Amazon Redshift mengganti sertifikat SSL di klaster Anda dengan sertifikat yang dikeluarkan AWS Certificate Manager (ACM). ACM adalah otoritas sertifikat publik tepercaya (CA) yang dipercaya oleh sebagian besar sistem saat ini. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke cluster Anda menggunakan SSL.

Perubahan ini hanya memengaruhi Anda jika semua hal berikut berlaku:

  • Klien atau aplikasi SQL Anda terhubung ke klaster Amazon Redshift menggunakan SSL dengan sslMode opsi koneksi disetel require keverify-ca,, atau opsi konfigurasi. verify-full

  • Anda tidak menggunakan driver Amazon Redshift ODBC atau JDBC, atau Anda menggunakan driver Amazon Redshift sebelum ODBC versi 1.3.7.1000 atau JDBC versi 1.2.8.1005.

Jika perubahan ini memengaruhi Anda di Wilayah Amazon Redshift komersial, maka Anda harus memperbarui sertifikat CA root kepercayaan Anda saat ini sebelum 23 Oktober 2017. Amazon Redshift akan mentransisikan cluster Anda untuk menggunakan sertifikat ACM antara sekarang dan 23 Oktober 2017. Perubahan seharusnya sangat sedikit atau tidak berpengaruh pada kinerja atau ketersediaan cluster Anda.

Jika perubahan ini memengaruhi Anda di Wilayah AWS GovCloud (US) (AS), maka Anda harus memperbarui sertifikat CA root kepercayaan Anda saat ini sebelum 1 April 2020 untuk menghindari gangguan layanan. Mulai tanggal ini, klien yang terhubung ke klaster Amazon Redshift menggunakan koneksi terenkripsi SSL memerlukan otoritas sertifikat tepercaya (CA) tambahan. Klien menggunakan otoritas sertifikat tepercaya untuk mengonfirmasi identitas klaster Amazon Redshift saat mereka terhubung dengannya. Tindakan Anda diperlukan untuk memperbarui klien dan aplikasi SQL Anda untuk menggunakan bundel sertifikat yang diperbarui yang menyertakan CA tepercaya baru.

penting

Di Wilayah China pada 5 Januari 2021, Amazon Redshift mengganti sertifikat SSL di klaster Anda dengan sertifikat yang dikeluarkan AWS Certificate Manager (ACM). Jika perubahan ini memengaruhi Anda di Wilayah China (Beijing) atau Wilayah China (Ningxia), maka Anda harus memperbarui sertifikat CA root kepercayaan Anda saat ini sebelum 5 Januari 2021 untuk menghindari gangguan layanan. Mulai tanggal ini, klien yang terhubung ke klaster Amazon Redshift menggunakan koneksi terenkripsi SSL memerlukan otoritas sertifikat tepercaya (CA) tambahan. Klien menggunakan otoritas sertifikat tepercaya untuk mengonfirmasi identitas klaster Amazon Redshift saat mereka terhubung dengannya. Tindakan Anda diperlukan untuk memperbarui klien dan aplikasi SQL Anda untuk menggunakan bundel sertifikat yang diperbarui yang menyertakan CA tepercaya baru.

Menggunakan driver Amazon Redshift ODBC atau JDBC terbaru

Metode yang disukai adalah menggunakan driver Amazon Redshift ODBC atau JDBC terbaru. Driver Amazon Redshift dimulai dengan ODBC versi 1.3.7.1000 dan JDBC versi 1.2.8.1005 secara otomatis mengelola transisi dari sertifikat yang ditandatangani sendiri Amazon Redshift ke sertifikat ACM. Untuk mengunduh driver terbaru, lihat Mengkonfigurasi koneksi ODBC atauMengkonfigurasi koneksi untuk JDBC driver versi 2.1 untuk Amazon Redshift.

Jika Anda menggunakan driver Amazon Redshift JDBC terbaru, sebaiknya jangan gunakan -Djavax.net.ssl.trustStore dalam opsi JVM. Jika Anda harus menggunakan-Djavax.net.ssl.trustStore, impor bundel otoritas sertifikat Redshift ke truststore yang ditunjuknya. Untuk informasi unduhan, lihat Connect menggunakan SSL. Untuk informasi selengkapnya, lihat Mengimpor bundel otoritas sertifikat Amazon Redshift ke dalam TrustStore.

Menggunakan driver Amazon Redshift ODBC atau JDBC sebelumnya

  • Jika ODBC DSN Anda dikonfigurasiSSLCertPath, timpa file sertifikat di jalur yang ditentukan.

  • Jika tidak SSLCertPath disetel, maka timpa file sertifikat yang dinamai root.crt di lokasi DLL driver.

Jika Anda harus menggunakan driver Amazon Redshift JDBC sebelum versi 1.2.8.1005, lakukan salah satu hal berikut:

Mengimpor bundel otoritas sertifikat Amazon Redshift ke dalam TrustStore

Anda dapat menggunakan redshift-keytool.jar untuk mengimpor sertifikat CA di bundel Amazon Redshift Certificate Authority ke Java TrustStore atau truststore pribadi Anda.

Untuk mengimpor bundel otoritas sertifikat Amazon Redshift ke dalam TrustStore

  1. Unduh redshift-keytool.jar.

  2. Lakukan salah satu hal berikut ini:

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke Java TrustStore, jalankan perintah berikut. 

      java -jar redshift-keytool.jar -s

    • Untuk mengimpor bundel Amazon Redshift Certificate Authority ke private Anda TrustStore, jalankan perintah berikut: 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

Menggunakan jenis koneksi SSL lainnya

Ikuti langkah-langkah di bagian ini jika Anda terhubung menggunakan salah satu dari berikut ini:

  • Driver ODBC sumber terbuka

  • Driver JDBC sumber terbuka

  • Antarmuka baris perintah Amazon Redshift RSQL

  • Binding bahasa apa pun berdasarkan libpq, seperti psycopg2 (Python) dan ruby-pg (Ruby)

Untuk menggunakan sertifikat ACM dengan jenis koneksi SSL lainnya:

  1. Unduh bundel otoritas sertifikat Amazon Redshift. Untuk informasi unduhan, lihat Connect menggunakan SSL.

  2. Tempatkan sertifikat dari bundel di root.crt file Anda.

    • Pada sistem operasi Linux dan macOS X, file tersebut adalah. ~/.postgresql/root.crt

    • Di Microsoft Windows, file tersebut adalah%APPDATA%\postgresql\root.crt.