本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon DynamoDB 正在移動我們的端點以保護由 Amazon Trust Services (ATS) Certificate Authority 簽署的憑證,而不是第三方憑證授權機構。2017 年 12 月,我們推出 EUWEST--3 (巴黎) 區域,其中包含 Amazon Trust Services 發行的安全憑證。所有於 2017 年 12 月之後推出的新區域都具有附帶 Amazon Trust Services 發行的憑證的終端節點。本指南說明如何驗證和疑難排解 SSL/TLS 連線問題。
測試您的應用程式或服務
大多數 AWS SDKs 和 命令列界面 (CLIs) 支援 Amazon Trust Services 憑證授權機構。如果您使用的是適用於 Python 的 AWS SDK 版本,或在 2013 年 10 月 29 日之前CLI發行,則必須升級。.NET、Java、PHP、Go JavaScript和 C++ CLIs SDKs且不綁定任何憑證,其憑證來自基礎作業系統。Ruby CAs自 2015 年 6 月 10 日起至少SDK包含其中一個必要的 。在此日期之前,Ruby V2 SDK 並未綁定憑證。如果您使用不支援、自訂或修改的 版本 AWS SDK,或者如果您使用自訂信任存放區,您可能沒有 Amazon Trust Services Certificate Authority 所需的支援。
若要驗證對 DynamoDB 端點的存取,您需要開發測試,以存取 EU-WEST-3 API 區域中的 DynamoDB API或 DynamoDB Streams,並驗證TLS交握是否成功。您需要在這種測試中存取的特定端點是:
如果應用程式不支援 Amazon Trust Services 憑證授權機構 (CA),則會看到下列其中一項失敗:
-
SSL/TLS 交涉錯誤
-
軟體收到錯誤表示 SSL/TLS 交涉失敗前的長時間延遲。延遲時間依用戶端的重試策略和逾時組態而定。
測試您的用戶端瀏覽器
若要確認您的瀏覽器可以連線至 Amazon DynamoDB,請開啟下列 URL:https://dynamodb.eu-west-3.amazonaws.com
healthy: dynamodb.eu-west-3.amazonaws.com
如果測試不成功,則會顯示類似此的錯誤:https://untrusted-root.badssl.com/
更新您的軟體應用程式用戶端
存取 DynamoDB 或 DynamoDB Streams API端點 (無論是透過瀏覽器或以程式設計方式) 的應用程式,如果尚未支援下列任何 ,則需要更新用戶端機器上的信任 CA 清單CAs:
-
Amazon 根 CA 1
-
Starfield Services 根憑證授權機構:G2
-
Starfield 類別 2 憑證授權機構
如果用戶端已經信任上述三個ANY項目CAs,則這些用戶端會信任 DynamoDB 使用的憑證,而且不需要採取任何動作。不過,如果您的用戶端尚未信任上述任何 CAs,則與 DynamoDB 或 DynamoDB Streams 的HTTPS連線APIs將會失敗。如需詳細資訊,請造訪此部落格文章:https://aws.amazon.com/blogs/Security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/
更新您的用戶端瀏覽器
只要更新瀏覽器即可更新瀏覽器中的憑證套件。常用瀏覽器的說明可以在瀏覽器網站上找到:
手動更新您的憑證套件
如果您無法存取 DynamoDB API或 DynamoDB StreamsAPI,則需要更新憑證套件。若要執行此作業,您需要匯入至少一個必要的 CAs。您可以在 找到這些項目https://www.amazontrust.com/repository/
下列作業系統和程式設計語言支援 Amazon Trust Services 憑證授權機構:
-
具備自 2005 年 1 月起之更新的 Microsoft Windows 版本,Windows Vista、Windows 7、Windows Server 2008 和更新版本。
-
Mac OS X 10.4 搭配 Java for MacOS X 10.4 第 5 版、Mac OS X 10.5 和更新版本。
-
Red Hat Enterprise Linux 5 (2007 年 3 月)、Linux 6 和 Linux 7 以及 CentOS 5、CentOS 6、CentOS 7
-
Ubuntu 8.10
-
Debian 5.0
-
Amazon Linux (所有版本)
-
Java 1.4.2_12、Java 5 更新版本 2 及所有更新版本,包括 Java 6、Java 7、Java 8
如果您仍然無法連線,請參閱軟體文件、作業系統供應商,或聯絡 AWS 支援https://aws.amazon.com/支援