As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Atualizando seus certificados TLS do Amazon DocumentDB — GovCloud
**Topics**
+ [Atualizar sua aplicação e seu cluster do Amazon DocumentDB](#ca_cert_rotation-updating_application)
+ [Solução de problemas](#ca_cert_rotation-troubleshooting)
+ [Perguntas frequentes](#ca_cert_rotation-faq)
**nota**
Essas informações se aplicam aos usuários nas regiões GovCloud (Oeste dos EUA) e GovCloud (Leste dos EUA).
O certificado de autoridade de certificação (CA) para clusters Amazon DocumentDB (compatível com MongoDB) será atualizado em **18 de maio de 2022.** Se estiver usando clusters do Amazon DocumentDB com o Transport Layer Security (TLS) habilitado (a configuração padrão) e não tiver alternado a aplicação cliente e os certificados de servidor, as seguintes etapas serão necessárias para minimizar problemas de conectividade entre sua aplicação e seus clusters do Amazon DocumentDB.
+ [Etapa 1: fazer download do novo certificado de CA e atualizar sua aplicação](#ca_cert_rotation-pdt-updating_application_step1)
+ [Etapa 2: atualizar o certificado do servidor](#ca_cert_rotation-pdt-updating_application_step2)
Os certificados CA e de servidor foram atualizados como parte das melhores práticas de manutenção e segurança padrão do Amazon DocumentDB. O certificado CA anterior expirará em 18 de maio de 2022. As aplicações cliente precisam adicionar os novos certificados de CA aos respectivos armazenamentos de confiança, e as instâncias do Amazon DocumentDB existentes precisam ser atualizadas para usar os novos certificados de CA antes dessa data de expiração.
## Atualizar sua aplicação e seu cluster do Amazon DocumentDB
Siga as etapas nesta seção para atualizar o pacote de certificados CA da aplicação ([Etapa 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1)) e os certificados de servidor do cluster ([Etapa 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2)). Antes de aplicar as alterações nos seus ambientes de produção, recomendamos testar estas etapas em um ambiente de desenvolvimento ou teste.
**nota**
Você deve concluir as etapas 1 e 2 em cada uma Região da AWS em que você tem clusters do Amazon DocumentDB.
### Etapa 1: fazer download do novo certificado de CA e atualizar sua aplicação
Faça download do novo certificado CA e atualize a aplicação para usá-la na criação de conexões TLS com o Amazon DocumentDB na sua região específica:
+ Para GovCloud (Oeste dos EUA), baixe o novo pacote de certificados CA em. [https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem) Essa operação faz download de um arquivo chamado `us-gov-west-1-bundle.pem`.
+ Para GovCloud (Leste dos EUA), baixe o novo pacote de certificados CA em. [https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem) Essa operação faz download de um arquivo chamado `us-gov-east-1-bundle.pem`.
**nota**
Se você estiver acessando o armazenamento de chaves que contém o certificado CA antigo (`rds-ca-2017-root.pem`) e os novos certificados CA (`rds-ca-rsa2048-g1.pem`, `rds-ca-rsa4096-g1.pem` ou `rds-ca-ecc384-g1.pem`), certifique-se de que o armazenamento de chaves seleciona o certificado de sua escolha. Para obter detalhes sobre cada certificado, consulte a etapa 2 abaixo.
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem
```
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem
```
Depois, atualize suas aplicações para usar o novo pacote de certificados. O novo pacote da CA contém os certificados CA antigo e novo (`rds-ca-rsa2048-g1.pem`, `rds-ca-rsa4096-g1.pem` ou `rds-ca-ecc384-g1.pem`). Com os dois certificados da autoridade de certificação (CA) no novo pacote, é possível atualizar sua aplicação e cluster em duas etapas.
Quaisquer downloads do pacote de certificados da autoridade de certificação após 21 de dezembro de 2021 deverão usar o novo pacote da CA. Para verificar se a aplicação está usando o pacote de certificados CA mais recente, consulte [Como garantir que estou usando o pacote da CA mais recente?](#ca_cert_rotation_pdt-faq_question13). Se você já estiver usando o pacote de certificados CA mais recente em sua aplicação, poderá avançar para a Etapa 2.
Para obter exemplos de como usar um pacote CA com a sua aplicação, consulte [Criptografia de dados em trânsito](security.encryption.ssl.md) e [Conectar-se com o TLS habilitado](connect_programmatically.md#connect_programmatically-tls_enabled).
**nota**
Atualmente, o MongoDB Go Driver 1.2.1 aceita somente um certificado de servidor CA em `sslcertificateauthorityfile`. Consulte [Conectar-se com o TLS habilitado](connect_programmatically.md#connect_programmatically-tls_enabled) para se conectar ao Amazon DocumentDB usando o Go quando o TLS estiver habilitado.
### Etapa 2: atualizar o certificado do servidor
Depois que a aplicação foi atualizada para usar o novo pacote de CA, o próximo passo é atualizar o certificado de servidor modificando cada instância em um cluster do Amazon DocumentDB. Para modificar as instâncias para usarem o novo certificado de servidor, consulte as instruções a seguir.
O Amazon DocumentDB fornece o seguinte CAs para assinar o certificado do servidor de banco de dados para uma instância de banco de dados:
+ **rds-ca-ecc384-g1** — usa uma autoridade de certificação com o algoritmo de chave privada ECC 384 e o algoritmo de assinatura. SHA384 Essa CA é compatível com a alternância automática de certificados do servidor. Isso tem suporte somente no Amazon DocumentDB 4.0 e 5.0.
+ **rds-ca-rsa2048-g1** — usa uma autoridade de certificação com o algoritmo de chave privada RSA 2048 e o algoritmo de assinatura na maioria das regiões. SHA256 AWS Essa CA é compatível com a alternância automática de certificados do servidor.
+ **rds-ca-rsa4096-g1** — usa uma autoridade de certificação com algoritmo de chave privada RSA 4096 e algoritmo de assinatura. SHA384 Essa CA é compatível com a alternância automática de certificados do servidor.
**nota**
[Se você estiver usando o AWS CLI, poderá ver as validades das autoridades de certificação listadas acima usando describe-certificates.](https://docs.aws.amazon.com/cli/latest/reference/docdb/describe-certificates.html)
**nota**
As instâncias do Amazon DocumentDB 4.0 e 5.0 **não** exigem reinicialização.
A atualização de suas instâncias do Amazon DocumentDB 3.6 requer uma reinicialização, o que pode causar interrupção no serviço. Antes de atualizar o certificado de servidor, verifique se você concluiu a [Etapa 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1).
------
#### [ Using the Console de gerenciamento da AWS ]
Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a Console de gerenciamento da AWS.
1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.
1. No painel de navegação no lado esquerdo do console, em DAX, selecione **Clusters**.
1. Talvez seja necessário identificar quais instâncias ainda estão no certificado antigo do servidor (`rds-ca-2017`). É possível fazer isso na coluna **Autoridade de certificação**, que fica oculta por padrão. Para exibir a coluna **Autoridade de certificação**, siga estas etapas:
1. Clique em **Configurações**.
![\[Imagem da caixa de navegação Clusters com o ícone Configurações destacado.\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/images/ca-cert-settings.png)
1. Na lista de colunas visíveis, selecione a coluna **Autoridade de certificação**.
1. Selecione **Confirmar** para salvar as alterações.
1. Agora, de volta à caixa de navegação Clusters, você verá a coluna **Identificador do cluster**. Suas instâncias estão listadas em clusters, semelhante ao snapshot abaixo.
![\[Imagem da caixa de navegação Clusters mostrando uma lista de links de cluster existentes e seus links de instância correspondentes.\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/images/choose-clusters.png)
1. Marque a caixa à esquerda da instância na qual você está interessado.
1. Escolha **Açõe** e **Modificar**.
1. Em **Autoridade de certificação**, selecione o novo certificado do servidor (`rds-ca-rsa2048-g1`, `rds-ca-rsa4096-g1` ou `rds-ca-ecc384-g1`) para essa instância.
1. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que a aplicação esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.
1. É possível optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente. Se sua intenção é modificar o certificado do servidor imediatamente, use a opção **Aplicar imediatamente**.
1. Escolha **Modificar instância** para concluir a atualização.
------
#### [ Using the AWS CLI ]
Conclua as etapas a seguir para identificar e girar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.
1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster. Use um dos seguintes certificados: `rds-ca-rsa2048-g1`, `rds-ca-rsa4096-g1` ou `rds-ca-ecc384-g1`.
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster. Use um dos seguintes certificados: `rds-ca-rsa2048-g1`, `rds-ca-rsa4096-g1` ou `rds-ca-ecc384-g1`.
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
------
## Solução de problemas
Se você estiver tendo problemas para conectar-se ao cluster como parte da alternância de certificado, sugerimos o seguinte:
+ **Reinicialize as instâncias.** A alternância do novo certificado requer que você reinicie cada uma de suas instâncias. Se você tiver aplicado o novo certificado a uma ou mais instâncias, mas não as reinicializou, reinicialize as instâncias para aplicar o novo certificado. Para obter mais informações, consulte [Reinicializar uma instância do Amazon DocumentDB](db-instance-reboot.md).
+ **Verifique se seus clientes estão usando o pacote de certificado mais recente.** Consulte [Como garantir que estou usando o pacote da CA mais recente?](#ca_cert_rotation_pdt-faq_question13).
+ **Verifique se suas instâncias estão usando o certificado mais recente.** Consulte [Como sei quais das minhas instâncias do Amazon DocumentDB estão usando o certificado do old/new servidor?](#ca_cert_rotation_pdt-faq_question5).
+ **Verifique se a CA de certificado mais recente está sendo utilizada por sua aplicação.** Alguns drivers, como Java e Go, exigem código extra para importar vários certificados de um pacote de certificados para o armazenamento confiável. Para obter mais informações sobre como se conectar ao Amazon DocumentDB usando TLS, consulte [Conectar-se de forma programática ao Amazon DocumentDB](connect_programmatically.md).
+ **Entre em contato com o suporte.** Se você tiver dúvidas ou problemas, entre em contato com o [Suporte](https://aws.amazon.com/premiumsupport).
## Perguntas frequentes
Veja a seguir as respostas a algumas perguntas comuns sobre certificados TLS.
### E se eu tiver dúvidas ou problemas?
Se você tiver dúvidas ou problemas, entre em contato com o [Suporte](https://aws.amazon.com/premiumsupport).
### Como sei se estou usando o TLS para conectar com meu cluster do Amazon DocumentDB?
Para ver se o cluster está usando TLS, examine o parâmetro `tls` do seu grupo de parâmetros do cluster. Se o parâmetro `tls` estiver definido como `enabled`, você está usando o certificado TLS para se conectar ao cluster. Para obter mais informações, consulte [Gerenciando grupos de parâmetros de cluster do Amazon DocumentDB](cluster_parameter_groups.md).
### Por que vocês estão atualizando os certificados da CA e do servidor?
Os certificados CA do Amazon DocumentDB e de servidor foram atualizados como parte das melhores práticas de manutenção e segurança padrão do Amazon DocumentDB. Os certificados atuais de CA e servidor expirarão na quarta-feira, 18 de maio de 2022.
### O que acontecerá se eu não fizer nada até a data de vencimento?
Se você estiver usando TLS para se conectar ao cluster do Amazon DocumentDB e não fizer a alteração até 18 de maio de 2022, suas aplicações que se conectam via TLS não poderão mais se comunicar com o cluster do Amazon DocumentDB.
O Amazon DocumentDB não alternará seus certificados de banco de dados automaticamente antes da expiração. É necessário atualizar suas aplicações e clusters para usar os novos certificados CA antes ou depois da data de expiração.
### Como sei quais das minhas instâncias do Amazon DocumentDB estão usando o certificado do old/new servidor?
Para identificar as instâncias do Amazon DocumentDB que ainda usam o certificado de servidor antigo, você pode usar o Amazon Console de gerenciamento da AWS DocumentDB ou o. AWS CLI
#### Usando o Console de gerenciamento da AWS
**Como identificar as instâncias em seus clusters que estão usando o certificado mais antigo**
1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que suas instâncias residem.
1. No painel de navegação, no lado esquerdo do console, escolha **Instâncias**.
1. A coluna **Autoridade de certificação** (oculta por padrão) mostra quais instâncias ainda estão com o antigo certificado do servidor (`rds-ca-2017`) e com o novo certificado do servidor (`rds-ca-rsa2048-g1`, `rds-ca-rsa4096-g1` ou `rds-ca-ecc384-g1`). Para exibir a coluna **Autoridade de certificação**, siga estas etapas:
1. Clique em **Configurações**.
1. Na lista de colunas visíveis, selecione a coluna **Autoridade de certificação**.
1. Selecione **Confirmar** para salvar as alterações.
#### Usando o AWS CLI
Para identificar as instâncias em seus clusters que estão usando o certificado de servidor mais antigo, use o comando `describe-db-clusters` com o seguinte.
```
aws docdb describe-db-instances \
--filters Name=engine,Values=docdb \
--query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
```
### Como modifico instâncias individuais no meu cluster do Amazon DocumentDB para atualizar o certificado do servidor?
Recomendamos atualizar os certificados de servidor para todas as instâncias de um determinado cluster ao mesmo tempo. Para modificar as instâncias em seu cluster, é possível usar o console ou a AWS CLI.
**nota**
A atualização de suas instâncias requer uma reinicialização, o que pode causar interrupção no serviço. Antes de atualizar o certificado de servidor, verifique se você concluiu a [Etapa 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1).
#### Usando o Console de gerenciamento da AWS
1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.
1. No painel de navegação, no lado esquerdo do console, escolha **Instances (Instâncias)**.
1. A coluna **Autoridade de certificação** (oculta por padrão) mostra quais instâncias ainda estão no certificado antigo do servidor (`rds-ca-2017`). Para exibir a coluna **Autoridade de certificação**, siga estas etapas:
1. Clique em **Configurações**.
1. Na lista de colunas visíveis, selecione a coluna **Autoridade de certificação**.
1. Selecione **Confirmar** para salvar as alterações.
1. Selecione uma instância para modificá-la.
1. Escolha **Ações** e **Modificar**.
1. Em **Autoridade de certificação**, selecione o novo certificado do servidor (`rds-ca-rsa2048-g1`,`rds-ca-rsa4096-g1` ou `rds-ca-ecc384-g1`) para essa instância.
1. Você verá um resumo das alterações na próxima página. Há um alerta adicional para lembrar você de garantir que a aplicação esteja usando o pacote de certificados da CA mais recente antes de modificar a instância, para evitar interrupções na conectividade.
1. É possível optar por aplicar a modificação durante a próxima janela de manutenção ou imediatamente.
1. Escolha **Modificar instância** para concluir a atualização.
#### Usando o AWS CLI
Conclua as etapas a seguir para identificar e alternar o certificado de servidor antigo para suas instâncias existentes do Amazon DocumentDB usando a AWS CLI.
1. Para modificar as instâncias imediatamente, execute o seguinte comando para cada instância do cluster.
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. Para modificar as instâncias nos clusters para usarem o novo certificado CA na próxima janela de manutenção do cluster, execute o seguinte comando para cada instância no cluster.
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
### O que acontecerá se eu adicionar uma nova instância a um cluster existente?
Todas as novas instâncias criadas usam o certificado de servidor antigo e exigem conexões TLS com o certificado CA antigo. Todas as novas instâncias do Amazon DocumentDB criadas após 21 de março de 2022 usarão os novos certificados como padrão.
### O que acontecerá se houver uma substituição de instância ou um failover no meu cluster?
Se houver uma substituição de instância no cluster, a nova instância criada continuará usando o mesmo certificado do servidor que a outra instância estava usando anteriormente. Recomendamos atualizar os certificados do servidor para todas as instâncias ao mesmo tempo. Se um failover acontecer no cluster, o certificado do servidor no novo primário será usado.
### Se eu não uso TLS para me conectar ao meu cluster, ainda preciso atualizar cada uma das minhas instâncias?
Se você não está usando o TLS para se conectar aos seus clusters do Amazon DocumentDB, não precisa fazer nada.
### Se eu não estiver usando TLS para a conexão com meu cluster, mas planejo usá-lo no futuro, o que devo fazer?
Se você criou um cluster antes de 21 de março de 2022, siga a [Etapa 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1) e a [Etapa 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2) na seção anterior para garantir que a sua aplicação esteja usando o pacote de CA atualizado e que cada instância do Amazon DocumentDB esteja usando o certificado de servidor mais recente. Se você criou um cluster após 21 de março de 2022, ele já terá o certificado de servidor mais recente. Para verificar se a aplicação está usando o pacote de certificados CA mais recente, consulte [Se eu não uso TLS para me conectar ao meu cluster, ainda preciso atualizar cada uma das minhas instâncias?](#ca_cert_rotation_pdt-faq_question10).
### O prazo pode ser prorrogado além de 18 de maio de 2022?
Se suas aplicações estiverem se conectando via TLS, o prazo não pode ser prorrogado para além de 18 de maio de 2022.
### Como garantir que estou usando o pacote da CA mais recente?
Por razões de compatibilidade, os arquivos de pacote da CA antigos e novos são nomeados `us-gov-west-1-bundle.pem`. Além disso, também é possível usar ferramentas como `openssl` ou `keytool` para inspecionar o pacote de CA.
### Por que vejo "RDS" no nome do pacote da CA?
Para alguns recursos de gerenciamento, como o gerenciamento de certificados, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS).
### Quando o novo certificado expirará?
O novo certificado de servidor expirará (geralmente) da seguinte forma:
+ **rds-ca-rsa2048-g1** — Expira em 2016
+ **rds-ca-rsa4096-g1** — expira em 2121
+ **rds-ca-ecc384-g1** — expira em 2121
### Que tipo de erros eu terei se eu não agir antes que o certificado expire?
As mensagens de erro variam dependendo do driver. Em geral, você verá erros de validação do certificado que contêm a string “o certificado expirou”.
### Se eu apliquei o novo certificado de servidor, posso revertê-lo para o antigo certificado de servidor?
Se for necessário reverter uma instância para o certificado de servidor antigo, recomendamos fazer isso para todas as instâncias do cluster. Você pode reverter o certificado do servidor para cada instância em um cluster usando o Console de gerenciamento da AWS ou o. AWS CLI
#### Usando o Console de gerenciamento da AWS
1. [Faça login no e abra Console de gerenciamento da AWS o console do Amazon DocumentDB em https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Na lista de regiões no canto superior direito da tela, escolha aquela Região da AWS em que seus clusters residem.
1. No painel de navegação, no lado esquerdo do console, escolha **Instances (Instâncias)**.
1. Selecione uma instância para modificá-la. Escolha **Ações** e, em seguida, **Modificar**.
1. Em **Autoridade de certificação**, é possível selecionar o certificado de servidor antigo (`rds-ca-2017`).
1. Escolha **Continuar** para exibir um resumo das modificações.
1. Nesta página resultante, é possível optar por programar suas modificações para serem aplicadas na próxima janela de manutenção ou aplicá-las imediatamente. Faça sua seleção e escolha **Modificar instância**.
**nota**
Se você optar por aplicar as alterações imediatamente, todas as alterações na fila de modificações pendentes também serão aplicadas. Se qualquer uma das alterações pendentes exigir tempo de inatividade, escolher essa opção poderá causar um tempo de inatividade inesperado.
#### Usando o AWS CLI
```
aws docdb modify-db-instance --db-instance-identifier ca-certificate-identifier rds-ca-2017 <--apply-immediately | --no-apply-immediately>
```
Se você escolher `--no-apply-immediately`, a alteração será aplicada na próxima janela de manutenção do cluster.
### Se eu restaurar de um snapshot ou uma restauração point-in-time, ele terá o novo certificado de servidor?
Se você restaurar um snapshot ou realizar uma point-in-time restauração após 21 de março de 2022, o novo cluster criado usará o novo certificado CA.
### E se eu estiver tendo problemas para conectar-me diretamente ao cluster do Amazon DocumentDB no Mac OS X Catalina?
O Mac OS X Catalina atualizou os requisitos para certificados confiáveis. Agora, os certificados confiáveis devem ser válidos por 825 dias ou menos (consulte [https://support.apple.com/en-us/HT210176](https://support.apple.com/en-us/HT210176)). Os certificados de instância do Amazon DocumentDB são válidos por mais de quatro anos, mais do que o máximo do Mac OS X. Para conectar-se diretamente a um cluster do Amazon DocumentDB em um computador que executa o Mac OS X Catalina, você deve permitir certificados inválidos ao criar a conexão TLS. Nesse caso, os certificados inválidos significam que o período de validade é superior a 825 dias. Você deve entender os riscos antes de permitir certificados inválidos ao conectar-se ao cluster do Amazon DocumentDB.
Para se conectar a um cluster Amazon DocumentDB a partir do OS X Catalina usando o AWS CLI, use o parâmetro. `tlsAllowInvalidCertificates`
```
mongo --tls --host --username --password --port 27017 --tlsAllowInvalidCertificates
```