Aggiornamento dei certificati Amazon DocumentDB TLS - Amazon DocumentDB
Aggiornamento dell'applicazione e del cluster Amazon DocumentDBRisoluzione dei problemiDomande frequenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento dei certificati Amazon DocumentDB TLS

Il certificato di autorità di certificazione (CA) per i cluster Amazon DocumentDB verrà aggiornato a partire da agosto 2024. Se utilizzi cluster Amazon DocumentDB con Transport Layer Security (TLS) abilitato (impostazione predefinita) e non hai ruotato i certificati dell'applicazione client e del server, sono necessari i seguenti passaggi per mitigare i problemi di connettività tra l'applicazione e i cluster Amazon DocumentDB.

I certificati CA e server sono stati aggiornati come parte delle best practice standard di manutenzione e sicurezza per Amazon DocumentDB. Le applicazioni client devono aggiungere i nuovi certificati CA ai propri trust store e le istanze Amazon DocumentDB esistenti devono essere aggiornate per utilizzare i nuovi certificati CA prima di questa data di scadenza.

Aggiornamento dell'applicazione e del cluster Amazon DocumentDB

Attenersi alla procedura descritta in questa sezione per aggiornare il bundle di certificati CA dell'applicazione (Fase 1) e i certificati server del cluster (Fase 2). Prima di applicare le modifiche agli ambienti di produzione, si consiglia di testare questi passaggi in un ambiente di sviluppo o di gestione temporanea.

Nota

È necessario completare i passaggi 1 e 2 Regione AWS in ognuno dei quali sono presenti cluster Amazon DocumentDB.

Fase 1: Scaricare il nuovo certificato CA e aggiornare l'applicazione

Scarica il nuovo certificato CA e aggiorna la tua applicazione per utilizzare il nuovo certificato CA per creare TLS connessioni ad Amazon DocumentDB. Scaricare il nuovo bundle di certificati CA da https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem. Questa operazione scarica un file denominato global-bundle.pem.

Nota

Se accedi al keystore che contiene sia il vecchio certificato CA (rds-ca-2019-root.pem) che i nuovi certificati CA (rds-ca-rsa2048-g1,,rds-ca-ecc384-g1)rds-ca-rsa4096-g1, verifica che il keystore selezioni. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

Successivamente, aggiornare le applicazioni per utilizzare il nuovo bundle di certificati. Il nuovo pacchetto CA contiene sia il vecchio certificato CA (rds-ca-2019) che i nuovi certificati CA (2048-g1, 4096-g1, 384-g1). rds-ca-rsa rds-ca-rsa rds-ca-ecc La presenza di entrambi i certificati CA nel nuovo bundle CA consente di aggiornare l'applicazione e il cluster in due fasi.

Per le applicazioni Java, è necessario creare un nuovo trust store con il nuovo certificato CA. Per istruzioni, consultate la scheda Java nell'TLSConnessione con abilitatoargomento.

Per verificare che l'applicazione utilizzi il bundle di certificati CA più recente, consulta Come posso essere sicuro di utilizzare il bundle CA più recente?. Se già utilizzi il bundle di certificati CA più recente nell'applicazione, puoi passare alla fase 2.

Per esempi di utilizzo di un bundle CA con l'applicazione, consulta Crittografia dei dati in transito e TLSConnessione con abilitato.

Nota

Attualmente, MongoDB Go Driver 1.2.1 accetta solo un certificato del server emesso da una CA in sslcertificateauthorityfile. Consulta TLSConnessione con abilitato la sezione relativa alla connessione ad Amazon DocumentDB tramite Go quando TLS è abilitato.

Fase 2: Aggiornare il certificato del server

Dopo che l'applicazione è stata aggiornata per utilizzare il nuovo pacchetto CA, il passaggio successivo consiste nell'aggiornare il certificato del server modificando ogni istanza in un cluster Amazon DocumentDB. Per modificare le istanze per utilizzare il nuovo certificato server, vedere le istruzioni riportate di seguito.

Amazon DocumentDB fornisce quanto segue CAs per firmare il certificato del server DB per un'istanza DB:

  • rds-ca-ecc384-g1: utilizza un'autorità di certificazione con algoritmo a chiave privata ECC 384 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server. Questa funzionalità è supportata solo su Amazon DocumentDB 4.0 e 5.0.

  • rds-ca-rsa2048-g1: utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 2048 e algoritmo di firma nella maggior parte delle regioni. SHA256 AWS supporta la rotazione automatica dei certificati del server.

  • rds-ca-rsa4096-g1: utilizza un'autorità di certificazione con algoritmo a chiave privata RSA 4096 e algoritmo di firma. SHA384 supporta la rotazione automatica dei certificati del server.

Nota

Se si utilizza il AWS CLI, è possibile visualizzare la validità delle autorità di certificazione sopra elencate utilizzando describe-certificates.

Questi certificati CA sono inclusi nel bundle di certificati regionali e globali. Quando utilizzi la CA rds-ca-rsa 2048-g1, rds-ca-rsa 4096-g1 o rds-ca-ecc 384-g1 con un database, Amazon DocumentDB gestisce il certificato del server DB sul database. Amazon DocumentDB ruota automaticamente il certificato del server DB prima della scadenza.

Nota

Amazon DocumentDB non richiede il riavvio per la rotazione dei certificati se il cluster è in esecuzione sulle seguenti versioni di patch del motore:

  • Amazon DocumentDB 3.6:1.0.208662 o versione successiva

  • Amazon DocumentDB 4.0:2.0.10179 o versione successiva

  • Amazon DocumentDB 5.0:3.0.4780 o versione successiva

Puoi determinare la versione corrente della patch del motore Amazon DocumentDB eseguendo il seguente comando:. db.runCommand({getEngineVersion: 1})

Prima di aggiornare il certificato del server, assicurati di averlo completatoFase 1.

Using the AWS Management Console

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS Management Console

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com /docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella in cui risiedono i tuoi cluster. Regione AWS

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. Potrebbe essere necessario identificare quali istanze sono ancora presenti nel vecchio certificato del server ()rds-ca-2019. Puoi farlo nella colonna Autorità di certificazione che si trova all'estrema destra della tabella Cluster.

  5. Nella tabella Cluster, vedrai la colonna Cluster identifier all'estrema sinistra. Le tue istanze sono elencate in cluster, in modo simile alla schermata seguente.

    Immagine della casella di navigazione Clusters che mostra un elenco di collegamenti cluster esistenti e i collegamenti di istanza corrispondenti.

  6. Seleziona la casella a sinistra dell'istanza che ti interessa.

  7. Scegliere Actions (Operazioni), quindi Modify (Modifica).

  8. In Certificate authority (Autorità di certificazione), selezionare il nuovo certificato del server (ad esempio rds-ca-rsa2048-g1) per questa istanza.

  9. È possibile visualizzare un riepilogo delle modifiche nella pagina successiva. Considera che è presente un avviso aggiuntivo per ricordare di assicurarsi che l'applicazione stia utilizzando il bundle CA più recente del certificato prima di modificare l'istanza per evitare di causare un'interruzione della connettività.

  10. Puoi scegliere di applicare la modifica durante la prossima finestra di manutenzione o applicarla immediatamente. Se si intende modificare immediatamente il certificato del server, utilizzare l'opzione Apply Immediately (Applica immediatamente) .

  11. Scegliere Modify instance (Modifica istanza) per completare l'aggiornamento.

Using the AWS CLI

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS CLI

  1. Per modificare immediatamente le istanze, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Per modificare le istanze del cluster in modo da utilizzare il nuovo certificato CA durante la successiva finestra di manutenzione del cluster, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Risoluzione dei problemi

Se si verificano problemi di connessione al cluster durante la rotazione dei certificati, si consiglia di eseguire quanto segue:

Domande frequenti

Di seguito sono riportate le risposte ad alcune domande comuni sui TLS certificati.

Cosa succede se ho domande o problemi?

Se avete domande o problemi, contattateci AWS Support.

Come faccio a sapere se lo uso TLS per connettermi al mio cluster Amazon DocumentDB?

È possibile determinare se il cluster è in uso TLS esaminando il tls parametro relativo al gruppo di parametri del cluster del cluster. Se il tls parametro è impostato suenabled, stai utilizzando il TLS certificato per connetterti al cluster. Per ulteriori informazioni, consulta Gestione dei gruppi di parametri del cluster Amazon DocumentDB.

Perché si aggiornano i certificati CA e server?

I certificati CA e server di Amazon DocumentDB vengono aggiornati come parte delle best practice standard di manutenzione e sicurezza per Amazon DocumentDB. Gli attuali certificati CA e server scadono a partire da agosto 2024.

Cosa succede se non intraprendo alcuna azione entro la data di scadenza?

Se utilizzi TLS per connetterti al tuo cluster Amazon DocumentDB e non apporti la modifica del certificato entro il le applicazioni che si connettono tramite non TLS saranno più in grado di comunicare con il cluster Amazon DocumentDB.

Amazon DocumentDB non ruoterà automaticamente i certificati del database prima della scadenza. È necessario aggiornare le applicazioni e i cluster per utilizzare i nuovi certificati CA prima o dopo la data di scadenza.

Come faccio a sapere quali delle mie istanze Amazon DocumentDB utilizzano il vecchio/nuovo certificato del server?

Per identificare le istanze di Amazon DocumentDB che utilizzano ancora il vecchio certificato del server, puoi utilizzare Amazon DocumentDB o il. AWS Management Console AWS CLI

Per identificare le istanze nei cluster che utilizzano il certificato precedente

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com /docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella in cui risiedono le tue istanze. Regione AWS

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. La colonna Autorità di certificazione (all'estrema destra della tabella) mostra quali istanze si trovano ancora sul vecchio certificato del server (rds-ca-2019) e sul nuovo certificato del server (rds-ca-rsa2048-g1).

Per identificare le istanze nei cluster che utilizzano il certificato del server precedente, utilizzare il comando describe-db-clusters con quanto riportato di seguito.

aws docdb describe-db-instances \
    --filters Name=engine,Values=docdb \
    --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

Come posso modificare le singole istanze nel mio cluster Amazon DocumentDB per aggiornare il certificato del server?

Consigliamo di aggiornare contemporaneamente i certificati server per tutte le istanze di un determinato cluster. Per modificare le istanze nel cluster, è possibile utilizzare la console o l' AWS CLI.

Nota

Prima di aggiornare il certificato del server, assicurati di aver completato la fase 1.

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com /docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella in cui risiedono i tuoi cluster. Regione AWS

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. La colonna Autorità di certificazione (all'estrema destra della tabella) mostra quali istanze si trovano ancora nel vecchio certificato del server ()rds-ca-2019.

  5. Nella tabella Cluster, in Cluster identifier, selezionate un'istanza da modificare.

  6. Scegliere Actions (Operazioni), quindi Modify (Modifica).

  7. In Certificate authority (Autorità di certificazione), selezionare il nuovo certificato del server (ad esempio rds-ca-rsa2048-g1) per questa istanza.

  8. È possibile visualizzare un riepilogo delle modifiche nella pagina successiva. Considera che è presente un avviso aggiuntivo per ricordare di assicurarsi che l'applicazione stia utilizzando il bundle CA più recente del certificato prima di modificare l'istanza per evitare di causare un'interruzione della connettività.

  9. Puoi scegliere di applicare la modifica durante la prossima finestra di manutenzione o applicarla immediatamente.

  10. Scegliere Modify instance (Modifica istanza) per completare l'aggiornamento.

Completa i seguenti passaggi per identificare e ruotare il vecchio certificato del server per le tue istanze Amazon DocumentDB esistenti utilizzando il. AWS CLI

  1. Per modificare immediatamente le istanze, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately

  2. Per modificare le istanze del cluster in modo da utilizzare il nuovo certificato CA durante la successiva finestra di manutenzione del cluster, eseguire il comando seguente per ogni istanza del cluster.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

Cosa succede se si aggiunge una nuova istanza a un cluster esistente?

Tutte le nuove istanze create utilizzano il vecchio certificato del server e richiedono TLS connessioni utilizzando il vecchio certificato CA. Tutte le nuove istanze di Amazon DocumentDB create dopo il 25 gennaio 2024 utilizzeranno per impostazione predefinita il nuovo certificato 2048-g1. rds-ca-rsa

Cosa succede se nel cluster è presente una sostituzione o un failover di istanza?

Se nel cluster è presente una sostituzione di istanza, la nuova istanza creata continua a utilizzare lo stesso certificato server utilizzato in precedenza dall'istanza. Si consiglia di aggiornare contemporaneamente i certificati server per tutte le istanze. Se si verifica un failover nel cluster, viene utilizzato il certificato server sul nuovo primario.

Se non utilizzo TLS per connettermi al mio cluster, devo comunque aggiornare ciascuna delle mie istanze?

Consigliamo vivamente di abilitareTLS. Nel caso in cui non lo abilitiTLS, ti consigliamo comunque di ruotare i certificati sulle tue istanze Amazon DocumentDB nel caso in cui prevedi di TLS utilizzarli per connetterti ai tuoi cluster in futuro. Se non prevedi di utilizzarlo TLS per connetterti ai tuoi cluster Amazon DocumentDB, non è necessaria alcuna azione.

Se non uso TLS per connettermi al mio cluster ma ho intenzione di farlo in futuro, cosa devo fare?

Se hai creato un cluster prima di gennaio 2024, segui i passaggi 1 e 2 nella sezione precedente per assicurarti che l'applicazione utilizzi il pacchetto CA aggiornato e che ogni istanza di Amazon DocumentDB utilizzi il certificato server più recente. Se crei un cluster dopo il 25 gennaio 2024, il cluster disporrà già del certificato server più recente (2048-g1). rds-ca-rsa Per verificare che l'applicazione utilizzi il bundle di certificati CA più recente, consulta Se non utilizzo TLS per connettermi al mio cluster, devo comunque aggiornare ciascuna delle mie istanze?.

La scadenza può essere prorogata oltre agosto 2024?

Se le candidature si connettono tramiteTLS, la scadenza non può essere prorogata.

Come posso essere sicuro di utilizzare il bundle CA più recente?

Per verificare di disporre del pacchetto più recente, utilizzate il seguente comando. Per eseguire questo comando, è necessario che java sia installato e che gli strumenti java siano nella PATH variabile della shell. Per ulteriori informazioni, consultate Uso di Java

keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b

Perché vedo "RDS" nel nome del pacchetto CA?

Per alcune funzionalità di gestione, come la gestione dei certificati, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon Relational Database Service (Amazon). RDS

Quando scadrà il nuovo certificato?

Il nuovo certificato del server scadrà (in genere) come segue:

  • rds-ca-rsa2048-g1: scade nel 2061

  • rds-ca-rsa4096-g1 — Scade il 2121

  • rds-ca-ecc384-g1 — Scade nel 2121

Che tipo di errori vedrò se non agisco prima della scadenza del certificato?

I messaggi di errore variano a seconda del driver. In generale, vedrai errori di convalida dei certificati che contengono la stringa «il certificato è scaduto».

Se è stato applicato il nuovo certificato server, è possibile ripristinare il vecchio certificato?

Se è necessario ripristinare un'istanza al certificato server precedente, consigliamo di farlo per tutte le istanze del cluster. È possibile ripristinare il certificato del server per ogni istanza in un cluster utilizzando o il AWS Management Console . AWS CLI

  1. Accedi a e apri AWS Management Console la console Amazon DocumentDB all'indirizzo https://console.aws.amazon.com /docdb.

  2. Nell'elenco delle regioni nell'angolo in alto a destra dello schermo, scegli quella in cui risiedono i tuoi cluster. Regione AWS

  3. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  4. Nella tabella Cluster, in Identificatore cluster, seleziona un'istanza da modificare. Scegli Actions (Operazioni), quindi Modify (Modifica).

  5. In Certificate authority (Autorità di certificazione), è possibile selezionare il vecchio certificato del server (rds-ca-2019).

  6. Scegliere Continue (Continua) per visualizzare un riepilogo delle modifiche.

  7. In questa pagina, è possibile scegliere di pianificare le modifiche da applicare nella finestra di manutenzione successiva o di applicare le modifiche immediatamente. Effettuare la selezione e scegliere Modify instance (Modifica istanza).

    Nota

    Se si sceglie di applicare le modifiche immediatamente, anche tutte le modifiche incluse nella coda delle modifiche in sospeso saranno applicate. Se nessuna delle modifiche in sospeso richiede tempi di inattività, la scelta di applicarle può provocare tempi di inattività imprevisti.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

Se si sceglie --no-apply-immediately, la modifica verrà applicata durante la prossima finestra di manutenzione del cluster.

Se ripristino da uno snapshot o un da un momento specifico, sarà disponibile il nuovo certificato del server?

Se si ripristina un'istantanea o si esegue un point-in-time ripristino dopo agosto 2024, il nuovo cluster creato utilizzerà il nuovo certificato CA.

Cosa succede se ho problemi a connettermi direttamente al mio cluster Amazon DocumentDB da qualsiasi sistema operativo Mac?

Mac OS ha aggiornato i requisiti per i certificati affidabili. I certificati affidabili devono ora essere validi per 397 giorni o meno (vedihttps://support.apple.com/en-us/HT211025).

Nota

Questa restrizione viene rispettata nelle versioni più recenti di Mac OS.

I certificati di istanza Amazon DocumentDB sono validi per oltre quattro anni, più a lungo del limite massimo consentito per Mac OS. Per connettersi direttamente a un cluster Amazon DocumentDB da un computer con sistema operativo Mac OS, è necessario consentire certificati non validi durante la creazione della connessione. TLS In questo caso, i certificati non validi indicano che il periodo di validità è superiore a 397 giorni. È necessario comprendere i rischi prima di consentire certificati non validi durante la connessione al cluster Amazon DocumentDB.

Per connetterti a un cluster Amazon DocumentDB da Mac OS utilizzando il AWS CLI, usa il tlsAllowInvalidCertificates parametro.

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates