對 DynamoDB 的 SSL/TLS 連線建立問題進行故障診斷

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon DynamoDB 正在移動我們的端點以保護由 Amazon Trust Services (ATS) Certificate Authority 簽署的憑證，而不是第三方憑證授權機構。2017 年 12 月，我們推出 EUWEST--3 （巴黎） 區域，其中包含 Amazon Trust Services 發行的安全憑證。所有於 2017 年 12 月之後推出的新區域都具有附帶 Amazon Trust Services 發行的憑證的終端節點。本指南說明如何驗證和疑難排解 SSL/TLS 連線問題。

測試您的應用程式或服務

大多數 AWS SDKs 和 命令列界面 (CLIs) 支援 Amazon Trust Services 憑證授權機構。如果您使用的是適用於 Python 的 AWS SDK 版本，或在 2013 年 10 月 29 日之前CLI發行，則必須升級。.NET、Java、PHP、Go JavaScript和 C++ CLIs SDKs且不綁定任何憑證，其憑證來自基礎作業系統。Ruby CAs自 2015 年 6 月 10 日起至少SDK包含其中一個必要的 。在此日期之前，Ruby V2 SDK 並未綁定憑證。如果您使用不支援、自訂或修改的 版本 AWS SDK，或者如果您使用自訂信任存放區，您可能沒有 Amazon Trust Services Certificate Authority 所需的支援。

若要驗證對 DynamoDB 端點的存取，您需要開發測試，以存取 EU-WEST-3 API 區域中的 DynamoDB API或 DynamoDB Streams，並驗證TLS交握是否成功。您需要在這種測試中存取的特定端點是：

如果應用程式不支援 Amazon Trust Services 憑證授權機構 (CA)，則會看到下列其中一項失敗：

測試您的用戶端瀏覽器

若要確認您的瀏覽器可以連線至 Amazon DynamoDB，請開啟下列 URL：https://dynamodb.eu-west-3.amazonaws.com。如果測試成功，則會看到如下的訊息：

healthy: dynamodb.eu-west-3.amazonaws.com

如果測試不成功，則會顯示類似此的錯誤：https://untrusted-root.badssl.com/。

更新您的軟體應用程式用戶端

存取 DynamoDB 或 DynamoDB Streams API端點 （無論是透過瀏覽器或以程式設計方式） 的應用程式，如果尚未支援下列任何 ，則需要更新用戶端機器上的信任 CA 清單CAs：

如果用戶端已經信任上述三個ANY項目CAs，則這些用戶端會信任 DynamoDB 使用的憑證，而且不需要採取任何動作。不過，如果您的用戶端尚未信任上述任何 CAs，則與 DynamoDB 或 DynamoDB Streams 的HTTPS連線APIs將會失敗。如需詳細資訊，請造訪此部落格文章：https://aws.amazon.com/blogs/Security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/。

更新您的用戶端瀏覽器

只要更新瀏覽器即可更新瀏覽器中的憑證套件。常用瀏覽器的說明可以在瀏覽器網站上找到：

手動更新您的憑證套件

如果您無法存取 DynamoDB API或 DynamoDB StreamsAPI，則需要更新憑證套件。若要執行此作業，您需要匯入至少一個必要的 CAs。您可以在 找到這些項目https://www.amazontrust.com/repository/。

下列作業系統和程式設計語言支援 Amazon Trust Services 憑證授權機構：

如果您仍然無法連線，請參閱軟體文件、作業系統供應商，或聯絡 AWS 支援https://aws.amazon.com/支援以取得進一步協助。