Transição para certificados ACM das conexões SSL - Amazon Redshift
Uso dos drivers ODBC ou JDBC mais recentes do Amazon RedshiftUso dos drivers ODBC ou JDBC mais antigos do Amazon RedshiftUso de outros tipos de conexão SSL

Transição para certificados ACM das conexões SSL

O Amazon Redshift está substituindo os certificados SSL em seus clusters por certificados AWS Certificate Manager (ACM) emitidos. O ACM é uma autoridade de certificação pública confiável pela maioria dos sistemas atuais. Talvez seja necessário atualizar os certificados CA raiz confiáveis atuais para continuar se conectando aos clusters por meio de SSL.

Essa alteração afetará você somente se todas as condições a seguir forem aplicáveis:

  • Os clientes ou os aplicativos SQL se conectam aos clusters do Amazon Redshift usando o SSL com a opção de conexão sslMode definida como a opção de configuração require, verify-ca ou verify-full.

  • Você não está usando os drivers ODBC ou JDBC do Amazon Redshift ou usa os drivers do Amazon Redshift anteriores ao ODBC versão 1.3.7.1000 ou JDBC versão 1.2.8.1005.

Se essa mudança afetar você nas regiões comerciais do Amazon Redshift, você deverá atualizar seus certificados CA raiz de confiança atuais antes de 23 de outubro de 2017. O Amazon Redshift fará a transição dos clusters para que usem certificados ACM até 23 de outubro de 2017. A alteração afetará muito pouco ou não afetará a performance ou a disponibilidade do cluster.

Se essa mudança afetar você nas regiões AWS GovCloud (US) (EUA), você deverá atualizar seus certificados CA raiz de confiança atuais antes de 1° de abril de 2020 para evitar a interrupção do serviço. A partir desta data, os clientes que se conectam a clusters Amazon Redshift usando conexões criptografadas SSL precisam de uma autoridade de certificação (CA) confiável adicional. Os clientes usam autoridades de certificação confiáveis para confirmar a identidade do cluster Amazon Redshift quando se conectam a ele. É necessário que você atualize os clientes e aplicativos SQL para usar um pacote de certificados atualizado que inclui a nova CA confiável.

Importante

Nas regiões da China em 5 de janeiro de 2021, o Amazon Redshift substituirá os certificados SSL nos clusters pelos certificados AWS Certificate Manager (ACM) emitidos. Se essa alteração afetar você na região China (Pequim) ou China (Ningxia), será necessário atualizar os certificados CA raiz de confiança atuais antes de 5 de janeiro de 2021 para evitar a interrupção do serviço. A partir desta data, os clientes que se conectam a clusters Amazon Redshift usando conexões criptografadas SSL precisam de uma autoridade de certificação (CA) confiável adicional. Os clientes usam autoridades de certificação confiáveis para confirmar a identidade do cluster Amazon Redshift quando se conectam a ele. É necessário que você atualize os clientes e aplicativos SQL para usar um pacote de certificados atualizado que inclui a nova CA confiável.

Uso dos drivers ODBC ou JDBC mais recentes do Amazon Redshift

O método preferencial é usar os drivers ODBC ou JDBC mais recentes do Amazon Redshift. Os drivers do Amazon Redshift a partir da versão ODBC 1.3.7.1000 e da versão JDBC 1.2.8.1005 gerenciam automaticamente a transição de um certificado autoassinado do Amazon Redshift para um certificado ACM. Para baixar os drivers mais recentes, consulte Configurar uma conexão para o driver JDBC versão 2.1 para o Amazon Redshift.

Se você usar o driver JDBC mais recente do Amazon Redshift, é recomendável não usar -Djavax.net.ssl.trustStore nas opções da JVM. Se você precisar usar -Djavax.net.ssl.trustStore, importe o pacote da autoridade de certificação do Redshift para a truststore indicada. Para baixar as informações, consulte SSL. Para obter mais informações, consulte Importar o pacote de autoridade de certificação do Amazon Redshift para um TrustStore.

Uso dos drivers ODBC ou JDBC mais antigos do Amazon Redshift

  • Se o DSN ODBC for configurado com SSLCertPath, substitua o arquivo de certificado no caminho especificado.

  • Se SSLCertPath não for definido, substitua o arquivo de certificado root.crt no local da DLL do driver.

Se você deve usar um driver JDBC do Amazon Redshift antes da versão 1.2.8.1005, siga um destes procedimentos:

Importar o pacote de autoridade de certificação do Amazon Redshift para um TrustStore

Você pode usar redshift-keytool.jar para importar certificados CA no pacote de autoridade de certificação do Amazon Redshift para um Java TrustStore ou seu truststore privado.

Para importar o pacote de autoridade de certificação do Amazon Redshift para um TrustStore

  1. Baixe o redshift-keytool.jar.

  2. Execute um destes procedimentos:

    • Para importar o pacote de autoridade de certificação do Amazon Redshift para um Java TrustStore, execute o comando a seguir. 

      java -jar redshift-keytool.jar -s

    • Para importar o pacote de autoridade de certificação do Amazon Redshift para o seu TrustStore privado, execute o seguinte comando: 

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

Uso de outros tipos de conexão SSL

Siga as etapas nesta seção se você se conectar usando um dos itens a seguir:

  • Driver ODBC de código aberto

  • Driver JDBC de código aberto

  • A interface de linha de comando Amazon Redshift RSQL

  • Qualquer vinculação de linguagem baseada em libpq, como psycopg2 (Python) e ruby-pg (Ruby)

Para usar certificados ACM com outros tipos de conexão SSL:

  1. Baixe o pacote de autoridade de certificação do Amazon Redshift. Para baixar as informações, consulte SSL.

  2. Insira os certificados do pacote em seu arquivo root.crt.

    • Nos sistemas operacionais Linux e macOS X, o arquivo é ~/.postgresql/root.crt.

    • No Microsoft Windows, o arquivo é %APPDATA%\postgresql\root.crt.