Utilizzo dell'ultima versione o dei driver di Amazon Redshift ODBC JDBC Utilizzo di Amazon Redshift ODBC o driver precedenti JDBC Utilizzo di altri tipi SSL di connessione

Passaggio ai certificati per le connessioni ACM SSL

Amazon Redshift sta sostituendo i SSL certificati sui tuoi cluster con certificati emessi AWS Certificate Manager (ACM). ACMè un'autorità di certificazione pubblica (CA) affidabile, considerata affidabile dalla maggior parte dei sistemi attuali. Potrebbe essere necessario aggiornare i certificati Trust Root CA correnti per continuare a connettersi ai cluster utilizzandoSSL.

Questo cambiamento ti riguarda solo in presenza di tutte le condizioni seguenti:

SQLI tuoi client o le tue applicazioni si connettono ai cluster Amazon Redshift utilizzando l'opzione SSL di sslMode connessione impostata su o verify-full l'opzione di configurazione. require verify-ca
Non utilizzi Amazon Redshift o i JDBC driver ODBC oppure utilizzi driver Amazon Redshift ODBC precedenti alla versione 1.3.7.1000 o alla versione JDBC 1.2.8.1005.

Se la modifica ti riguarda per le regioni Amazon Redshift commerciali, è necessario aggiornare i certificati emessi da una CA radice attendibili correnti prima del 23 ottobre 2017. Amazon Redshift effettuerà la transizione dei cluster per utilizzare i ACM certificati tra oggi e il 23 ottobre 2017. Il cambiamento dovrebbe avere un effetto minimo o assente sulle prestazioni o la disponibilità del cluster.

Se questa modifica riguarda le regioni AWS GovCloud (US) (Stati Uniti), devi aggiornare i tuoi attuali certificati Trust Root CA prima del 1° aprile 2020 per evitare interruzioni del servizio. A partire da questa data, i client che si connettono ai cluster Amazon Redshift utilizzando connessioni SSL crittografate necessitano di un'autorità di certificazione (CA) attendibile aggiuntiva. I client utilizzano le certification authority attendibili per confermare l'identità del cluster Amazon Redshift quando si connettono. Il tuo intervento è necessario per aggiornare SQL i client e le applicazioni in modo che utilizzino un pacchetto di certificati aggiornato che include la nuova CA affidabile.

Importante

Nelle regioni cinesi, il 5 gennaio 2021, Amazon Redshift sostituirà i SSL certificati sui tuoi cluster con certificati emessi AWS Certificate Manager (ACM). Se questa modifica riguarda la regione Cina (Pechino) o la regione Cina (Ningxia), allora sarà necessario aggiornare i certificati CA root attendibili correnti prima del 5 gennaio 2021 per evitare interruzioni del servizio. A partire da questa data, i client che si connettono ai cluster Amazon Redshift utilizzando connessioni SSL crittografate necessitano di un'autorità di certificazione (CA) attendibile aggiuntiva. I client utilizzano le certification authority attendibili per confermare l'identità del cluster Amazon Redshift quando si connettono. Il tuo intervento è necessario per aggiornare SQL i client e le applicazioni in modo che utilizzino un pacchetto di certificati aggiornato che include la nuova CA affidabile.

Utilizzo dell'ultima versione o dei driver di Amazon Redshift ODBC JDBC
Utilizzo di Amazon Redshift ODBC o driver precedenti JDBC
Utilizzo di altri tipi SSL di connessione

Utilizzo dell'ultima versione o dei driver di Amazon Redshift ODBC JDBC

Il metodo preferito consiste nell'utilizzare i driver ODBC o JDBC i driver Amazon Redshift più recenti. I driver Amazon Redshift a partire dalla ODBC versione 1.3.7.1000 e dalla JDBC versione 1.2.8.1005 gestiscono automaticamente la transizione da un certificato autofirmato Amazon Redshift a un certificato. ACM Per scaricare i driver più aggiornati, consultare Configurazione di una connessione per la versione 2.1 del JDBC driver per Amazon Redshift.

Se utilizzi il JDBC driver Amazon Redshift più recente, è meglio non utilizzarlo -Djavax.net.ssl.trustStore nelle JVM opzioni. Se è necessario utilizzare -Djavax.net.ssl.trustStore, importare il bundle di autorità di certificazione di Redshift nel truststore a cui fa riferimento. Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del pacchetto di autorità di certificazione Amazon Redshift in un TrustStore.

Utilizzo di Amazon Redshift ODBC o driver precedenti JDBC

Se il tuo ODBC DSN è configurato conSSLCertPath, sovrascrivi il file del certificato nel percorso specificato.
Se non SSLCertPath è impostato, sovrascrivi il file di certificato indicato root.crt nella posizione del driverDLL.

Se devi utilizzare un JDBC driver Amazon Redshift prima della versione 1.2.8.1005, esegui una delle seguenti operazioni:

Se la stringa di JDBC connessione utilizza l'sslCertopzione, rimuovi l'opzione. sslCert Quindi importa il pacchetto di autorità di certificazione Redshift nel tuo Java. TrustStore Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del pacchetto di autorità di certificazione Amazon Redshift in un TrustStore.
Se si utilizza l'opzione -Djavax.net.ssl.trustStore della riga di comando Java, rimuoverla dalla riga di comando, se possibile. Quindi importa il pacchetto di autorità di certificazione Redshift nel tuo Java. TrustStore Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del pacchetto di autorità di certificazione Amazon Redshift in un TrustStore.

Importazione del pacchetto di autorità di certificazione Amazon Redshift in un TrustStore

Puoi utilizzarli redshift-keytool.jar per importare i certificati CA nel bundle Amazon Redshift Certificate Authority in Java TrustStore o nel tuo truststore privato.

Per importare il pacchetto di autorità di certificazione Amazon Redshift in un TrustStore

Scaricare redshift-keytool.jar.
Esegui una di queste operazioni:
- Per importare il pacchetto Amazon Redshift Certificate Authority in Java TrustStore, esegui il comando seguente.
```
java -jar redshift-keytool.jar -s
```
- Per importare il pacchetto Amazon Redshift Certificate Authority in modalità privata TrustStore, esegui il seguente comando:
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Utilizzo di altri tipi SSL di connessione

Segui la procedura descritta in questa sezione se utilizzi uno dei seguenti metodi di connessione:

ODBCDriver open source
JDBCDriver open source
L'interfaccia a riga di RSQL comando di Amazon Redshift
Qualsiasi connessione di linguaggio basata su libpq, come psycopg2 (Python) e ruby-pg (Ruby)

Per utilizzare ACM i certificati con altri tipi di SSL connessione:

Scaricare il bundle della certification authority di Amazon Redshift. Per informazioni di download, consulta SSL.
Posizionare i certificati del bundle nel file root.crt.
- Sui sistemi operativi Linux e macOS X, il file è ~/.postgresql/root.crt
- Su Microsoft Windows, il file è %APPDATA%\postgresql\root.crt

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione delle opzioni di sicurezza per le connessioni

Connessione da codice e strumenti client