本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 更新您的 Amazon DocumentDB TLS 憑證
**Topics**
+ [更新您的應用程式和 Amazon DocumentDB 叢集](#ca_cert_rotation-updating_application)
+ [自動伺服器憑證輪換](#ca-cert-rotation-auto)
+ [疑難排解](#ca_cert_rotation-troubleshooting)
+ [常見問答集](#ca_cert_rotation-faq)
Amazon DocumentDB 叢集的憑證授權機構 (CA) 憑證已於 2024 年 8 月更新。如果您使用已啟用 Transport Layer Security (TLS) 的 Amazon DocumentDB 叢集 (預設設定),而且尚未輪換用戶端應用程式和伺服器憑證,則需要下列步驟來緩解應用程式和 Amazon DocumentDB 叢集之間的連線問題。
+ [步驟 1:下載新的 CA 憑證並更新您的應用程式](#ca_cert_rotation-updating_application_step1)
+ [步驟 2:更新伺服器憑證](#ca_cert_rotation-updating_application_step2)
CA 和伺服器憑證已更新為 Amazon DocumentDB 標準維護和安全最佳實務的一部分。用戶端應用程式必須將新的 CA 憑證新增至其信任存放區,而且必須更新現有的 Amazon DocumentDB 執行個體,才能在此過期日期之前使用新的 CA 憑證。
## 更新您的應用程式和 Amazon DocumentDB 叢集
請遵循本節所述步驟更新您應用程式的憑證授權機構憑證套件 ([步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-updating_application_step1)) 和您叢集的伺服器憑證 ([步驟 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-updating_application_step2))。將變更套用至您的生產環境前,我們強烈在開發或預備環境中測試這些步驟。
**注意**
您必須在 AWS 區域 您擁有 Amazon DocumentDB 叢集的每個 中完成步驟 1 和 2。
### 步驟 1:下載新的 CA 憑證並更新您的應用程式
下載新的 CA 憑證並更新您的應用程式,以使用新的 CA 憑證建立與 Amazon DocumentDB 的 TLS 連線。請從下列位置下載新的 CA 憑證套件:[https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem](https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem)。此操作會下載名為 `global-bundle.pem` 的檔案。
**注意**
如果您要存取同時包含舊 CA 憑證 (`rds-ca-2019-root.pem`) 和新 CA 憑證 (`rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1`) 的金鑰存放區,請確認金鑰存放區已選取 `global-bundle`。
```
wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
```
接著更新您的應用程式,以使用新的憑證套件。新的 CA 套件包含舊 CA 憑證 (rds-ca-2019) 和新的 CA 憑證 (rds-ca-rsa2048-g1、rds-ca-rsa4096-g1、rds-ca-ecc384-g1)。只要在新的 CA 套件中有這兩個憑證,即可用兩個步驟更新您的應用程式和叢集。
對於 Java 應用程式,您必須使用新的 CA 憑證建立新的信任存放區。如需說明,請參閱 [使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)主題中的 Java 標籤。
如果要確認應用程式是否有在使用最新的憑證授權機構憑證套件,請參閱[我如何確定自己使用的是最新的 CA 套件?](#ca_cert_rotation-faq_question13)。如果您已經在應用程式中使用最新的憑證授權機構憑證套件,可以跳到步驟 2。
如需搭配您的應用程式使用 CA 套件的範例,請參閱 [加密傳輸中的資料](security.encryption.ssl.md) 和 [使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)。
**注意**
MongoDB Go Driver 1.2.1 目前只接受 `sslcertificateauthorityfile` 中的一個 CA 伺服器憑證。請參閱[使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)來了解如何在 TLS 啟用時,使用 Go 連線至 Amazon DocumentDB。
### 步驟 2:更新伺服器憑證
應用程式更新為使用新的 CA 套件後,下一步是透過修改 Amazon DocumentDB 叢集中的每個執行個體來更新伺服器憑證。若要修改執行個體以使用新的伺服器憑證,請參閱下列指示。
Amazon DocumentDB 提供下列 CAs 來簽署資料庫執行個體的資料庫伺服器憑證:
+ **rds-ca-ecc384-g1** — 使用具有 ECC 384 私有金鑰演算法和 SHA384 簽署演算法的憑證授權機構。此 CA 支援自動伺服器憑證輪換。這僅在 Amazon DocumentDB 4.0 和 5.0 上受支援。
+ **rds-ca-rsa2048-g1** - 在大多數區域中搭配 RSA 2048 私有金鑰演算法和 SHA256 簽署演算法使用憑證授權機構 AWS 。此 CA 支援自動伺服器憑證輪換。
+ **rds-ca-rsa4096-g1** — 搭配 RSA 4096 私有金鑰演算法和 SHA384 簽署演算法使用憑證授權機構。此 CA 支援自動伺服器憑證輪換。
**注意**
如果您使用的是 AWS CLI,您可以使用 [describe-certificates](https://docs.aws.amazon.com/cli/latest/reference/docdb/describe-certificates.html) 來查看上述憑證授權單位的有效性。
這些 CA 憑證包含在區域和全域憑證套件中。當您搭配資料庫使用 rds-ca-rsa2048-g1、rds-ca-rsa4096-g1 或 rds-ca-ecc384-g1 CA 時,Amazon DocumentDB 會管理資料庫上的資料庫伺服器憑證。Amazon DocumentDB 會在資料庫伺服器憑證過期之前自動輪換資料庫伺服器憑證。
**注意**
如果您的叢集正在下列引擎修補程式版本上執行,Amazon DocumentDB 不需要重新啟動以進行憑證輪換:
Amazon DocumentDB 3.6:1.0.208662 或更新版本
Amazon DocumentDB 4.0:2.0.10179 或更新版本
Amazon DocumentDB 5.0:3.0.4780 或更高版本
您可以執行下列命令來判斷目前的 Amazon DocumentDB 引擎修補程式版本:`db.runCommand({getEngineVersion: 1})`。
更新伺服器憑證之前,請確定您已完成 [步驟 1](#ca_cert_rotation-updating_application_step1)。
------
#### [ Using the AWS 管理主控台 ]
完成下列步驟,使用 識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS 管理主控台。
1. 登入 AWS 管理主控台,並在 [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb):// 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中選擇**叢集**。
1. 您可能需要識別哪些執行個體仍在舊的伺服器憑證上 (`rds-ca-2019`)。您可以在位於**叢集**資料表最右側的**憑證授權**單位欄中執行此操作。
1. 在**叢集**表格中,您會看到最左邊的欄位**叢集識別符**。您的執行個體會列在叢集下,類似於下面的螢幕擷取畫面。
![\[叢集導覽方塊的影像,顯示現有叢集連結及其對應執行個體連結的清單。\]](http://docs.aws.amazon.com/zh_tw/documentdb/latest/developerguide/images/choose-clusters.png)
1. 勾選您感興趣的執行個體左側的方塊。
1. 選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在 **Certificate authority (憑證授權單位)** 下方,選取此執行個體新的伺服器憑證 (`rds-ca-rsa2048-g1`)。
1. 您可以在下一頁上查看變更摘要。請注意,修改執行個體之前,會出現其他提醒來提醒您確保應用程式正使用最新的憑證 CA 套件,以免導致連線中斷。
1. 您可以在下次維護時段中套用修改,或立即套用。如果您想要立即修改伺服器憑證,請使用 **Apple Immediately (立即套用)** 選項。
1. 選擇 **Modify instance (修改執行個體)** 以完成更新。
------
#### [ Using the AWS CLI ]
完成下列步驟,使用 識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS CLI。
1. 若要立即修改執行個體,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
```
1. 若要修改叢集內的執行個體,以在叢集的下一個維護時段使用新的憑證授權機構憑證,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately
```
------
## 自動伺服器憑證輪換
Amazon DocumentDB 支援自動伺服器憑證輪換。伺服器憑證是發給每個叢集執行個體的分葉憑證。與根 CA 憑證相反,伺服器憑證的有效性很短 (12 個月),Amazon DocumentDB 會自動處理輪換,而無需您採取任何動作。Amazon DocumentDB 對此自動輪換使用相同的根 CA,因此您不需要下載新的 CA 套件。
**重要**
連線至 Amazon DocumentDB 叢集時,我們建議您信任根 CA 套件,而不是直接信任每個伺服器憑證。這可防止伺服器憑證輪換後的連線錯誤。請參閱 [使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)。
Amazon DocumentDB 會在您偏好的維護時段中,嘗試在伺服器憑證的半生命週期內輪換您的伺服器憑證。新的伺服器憑證有效期為 12 個月。
使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-engine-versions.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-engine-versions.html)命令並檢查 `SupportsCertificateRotationWithoutRestart`旗標,以識別引擎版本是否支援在不重新啟動的情況下輪換憑證。
**注意**
如果您的叢集在下列引擎修補程式版本上執行,Amazon DocumentDB 支援伺服器憑證輪換,而不會重新啟動:
Amazon DocumentDB 3.6:1.0.208662 或更新版本
Amazon DocumentDB 4.0:2.0.10179 或更新版本
Amazon DocumentDB 5.0:3.0.4780 或更高版本
您可以執行此命令來判斷目前的 Amazon DocumentDB 引擎修補程式版本:`db.runCommand({getEngineVersion: 1})`。
如果您使用的是較舊的引擎修補程式版本,Amazon DocumentDB 會輪換伺服器憑證,並在您偏好的維護時段排程資料庫重新啟動事件。
## 疑難排解
如果您在憑證輪換的過程中無法連接到叢集,我們建議您執行下列動作:
+ **確認您的用戶端使用最新的憑證服務套件。**請參閱 [我如何確定自己使用的是最新的 CA 套件?](#ca_cert_rotation-faq_question13)。
+ **確認您的執行個體使用最新的憑證。**請參閱 [如何知道哪些 Amazon DocumentDB 執行個體正在使用舊/新伺服器憑證?](#ca_cert_rotation-faq_question5)。
+ **確認您的應用程式正在使用最新的憑證 CA。**某些驅動程式 (例如 Java 和 Go) 需要額外的程式碼,才能將憑證套件中的多個憑證匯入信任存放區。如需使用 TLS 連線至 Amazon DocumentDB 的詳細資訊,請參閱 [以程式設計方式連線至 Amazon DocumentDB](connect_programmatically.md)。
+ **聯絡支援。**如果您有疑問或問題,請聯絡 [支援](https://aws.amazon.com/premiumsupport)。
## 常見問答集
以下是與 TLS 憑證相關的一些常見問題。
### 要是我有問題,該怎麼辦?
如果您有疑問或問題,請聯絡 [支援](https://aws.amazon.com/premiumsupport)。
### 如何知道我是否使用 TLS 連線到我的 Amazon DocumentDB 叢集?
您可以檢查叢集參數群組的 `tls` 參數,判斷您的叢集是否正在使用 TLS。如果 `tls` 參數設為 `enabled`,即表示您正在使用 TLS 憑證連線到叢集。如需詳細資訊,請參閱[管理 Amazon DocumentDB 叢集參數群組](cluster_parameter_groups.md)。
### 為何需要更新 CA 和伺服器憑證?
Amazon DocumentDB CA 和伺服器憑證正在更新,作為 Amazon DocumentDB 標準維護和安全性最佳實務的一部分。
### 如果在過期日期之前未採取任何動作,會發生什麼情況?
如果您使用 TLS 以過期的 CA 憑證連線至 Amazon DocumentDB 叢集,則透過 TLS 連線的應用程式將無法再與 Amazon DocumentDB 叢集通訊。
Amazon DocumentDB 不會在過期前自動輪換資料庫憑證。您必須在過期日期之前或之後更新您的應用程式和叢集,以使用新的 CA 憑證。
### 如何知道哪些 Amazon DocumentDB 執行個體正在使用舊/新伺服器憑證?
若要識別仍使用舊伺服器憑證的 Amazon DocumentDB 執行個體,您可以使用 Amazon DocumentDB AWS 管理主控台 或 AWS CLI。
#### 使用 AWS 管理主控台
**辨識在您的叢集中仍在使用舊憑證的執行個體**
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 執行個體所在的 。
1. 在主控台左側的導覽窗格中選擇**叢集**。
1. **憑證授權單位**欄 (靠近資料表的最右側) 會顯示哪些執行個體仍在舊的伺服器憑證 (`rds-ca-2019`) 和新的伺服器憑證 () 上`rds-ca-rsa2048-g1`。
#### 使用 AWS CLI
若要辨識您的叢集中正使用舊伺服器憑證的執行個體,請搭配下列參數使用 `describe-db-clusters` 命令。
```
aws docdb describe-db-instances \
--filters Name=engine,Values=docdb \
--query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
```
### 如何修改 Amazon DocumentDB 叢集中的個別執行個體以更新伺服器憑證?
建議您同時為指定叢集中的所有執行個體更新伺服器憑證。若要修改叢集中的執行個體,您可以使用主控台或 AWS CLI。
**注意**
更新伺服器憑證前,請先確認您已完成[步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-updating_application_step1)。
#### 使用 AWS 管理主控台
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中選擇**叢集**。
1. **憑證授權單位**欄 (靠近資料表的最右側) 會顯示哪些執行個體仍在舊的伺服器憑證 () 上`rds-ca-2019`。
1. 在**叢集**資料表的**叢集識別符**下,選取要修改的執行個體。
1. 選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在 **Certificate authority (憑證授權單位)** 下方,選取此執行個體新的伺服器憑證 (`rds-ca-rsa2048-g1`)。
1. 您可以在下一頁上查看變更摘要。請注意,修改執行個體之前,會出現其他提醒來提醒您確保應用程式正使用最新的憑證 CA 套件,以免導致連線中斷。
1. 您可以在下次維護時段中套用修改,或立即套用。
1. 選擇 **Modify instance (修改執行個體)** 以完成更新。
#### 使用 AWS CLI
完成下列步驟,使用 識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS CLI。
1. 若要立即修改執行個體,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
```
1. 若要修改叢集內的執行個體,以在叢集的下一個維護時段使用新的憑證授權機構憑證,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately
```
### 如果我將新的執行個體新增至現有叢集,會發生什麼情況?
所有建立的新執行個體將會使用舊的伺服器憑證,且需要使用舊 CA 憑證的 TLS 連線。2024 年 1 月 25 日之後建立的任何新 Amazon DocumentDB 執行個體都會預設為使用新的憑證 rds-ca-rsa2048-g1。
### 如果我的叢集發生執行個體替換或容錯移轉作業,會發生什麼情況?
如果您的叢集發生執行個體替換作業,建立的新執行個體會繼續使用執行個體之前使用的相同伺服器憑證。我們建議您同時為所有執行個體更新伺服器憑證。如果我的叢集發生容錯移轉作業,會在新的主要伺服器上會使用伺服器憑證。
### 如果我沒有使用 TLS 連線到我的叢集,我仍需更新各個執行個體嗎?
我們強烈建議您啟用 TLS。如果您未啟用 TLS,仍建議您在未來計劃使用 TLS 連線到叢集時輪換 Amazon DocumentDB 執行個體上的憑證。如果您從未計劃使用 TLS 連線到 Amazon DocumentDB 叢集,則不需要採取任何動作。
### 如果我沒有使用 TLS 連線到自己的叢集,但打算在未來這樣做,我該怎麼辦?
如果您在 2024 年 1 月之前建立叢集,請遵循[上一節的步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-updating_application_step1) [和步驟 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-updating_application_step2),以確保您的應用程式使用更新的 CA 套件,且每個 Amazon DocumentDB 執行個體都使用最新的伺服器憑證。如果您在 2024 年 1 月 25 日之後建立叢集,您的叢集將已有最新的伺服器憑證 (rds-ca-rsa2048-g1)。若要驗證您的應用程式是否使用最新的 CA 套件,請參閱 [如果我沒有使用 TLS 連線到我的叢集,我仍需更新各個執行個體嗎?](#ca_cert_rotation-faq_question10)
### 截止日期是否可以延長到 2024 年 8 月之後?
如果您的應用程式透過 TLS 連線,則無法延長截止日期。
### 我如何確定自己使用的是最新的 CA 套件?
若要驗證您是否擁有最新的套件,請使用下列命令。若要執行此命令,您必須安裝 java,而且 java 工具必須位於 shell 的 PATH 變數中。如需詳細資訊,請參閱[使用 Java](https://www.java.com/en/download/help/path.html)
#### macOS 和 Amazon Linux
```
keytool -printcert -v -file global-bundle.pem
```
#### Windows
```
keytool -printcert -v -file global-bundle.p7b
```
### 我為何在 CA 套件的名稱中看到「RDS」?
對於某些管理功能,例如憑證管理,Amazon DocumentDB 會使用與 Amazon Relational Database Service (Amazon RDS) 共用的操作技術。
### 新憑證何時過期?
新的伺服器憑證將過期 (通常),如下所示:
+ **rds-ca-rsa2048-g1** — 2061 年過期
+ **rds-ca-rsa4096-g1** — 過期 2121
+ **rds-ca-ecc384-g1** — 過期 2121
### 如果在憑證過期之前未採取行動,我會看到哪些類型的錯誤?
錯誤訊息會根據您的驅動程式而有所不同。一般而言,您會看到包含「憑證已過期」字串的憑證驗證錯誤。
### 如果我套用新的伺服器憑證,我可以還原為舊的伺服器憑證嗎?
如果您需要將執行個體還原為舊憑證,建議您對叢集中的所有執行個體都這樣做。您可以使用 AWS 管理主控台 或 來還原叢集中每個執行個體的伺服器憑證 AWS CLI。
#### 使用 AWS 管理主控台
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中選擇**叢集**。
1. 在**叢集**資料表的**叢集識別符**下,選取要修改的執行個體。選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在 **Certificate authority (憑證授權單位)** 下方,您可以選取舊的伺服器憑證 (`rds-ca-2019`)。
1. 選擇 **Continue (繼續)** 以檢視修改摘要。
1. 在此產生的頁面中,您可以選擇排程要在下一次維護時段中套用的修改項目,或立即套用修改項目。進行選取,並選擇 **Modify instance (修改執行個體)**。
**注意**
若您選擇立即套用您的修改項目,則系統會一併套用待定修改佇列內的任何變更。如果有任何待定修改需要停機才能執行,則選擇此選項可能會導致未預期的停機。
#### 使用 AWS CLI
```
aws docdb modify-db-instance --db-instance-identifier ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>
```
如果選擇 `--no-apply-immediately`,將在叢集的下一個維護時段套用變更。
### 如果我們從快照或時間點還原回復,是否會有新的伺服器憑證?
如果您在 2024 年 8 月之後還原快照或執行point-in-time還原,則建立的新叢集將使用新的 CA 憑證。
### 如果我無法從任何 Mac 作業系統直接連線至 Amazon DocumentDB 叢集,該怎麼辦?
Mac OS 已更新信任憑證的要求。信任的憑證現在必須在 397 天內有效 (請參閱 [https://support.apple.com/en-us/HT211025](https://support.apple.com/en-us/HT211025))。
**注意**
在較新版本的 Mac OS 中觀察到此限制。
Amazon DocumentDB 執行個體憑證的有效期超過四年,超過 Mac OS 上限。若要從執行 Mac OS 的電腦直接連線至 Amazon DocumentDB 叢集,您必須在建立 TLS 連線時允許無效的憑證。在此情況下,無效的憑證表示有效期間超過 397 天。在連線至 Amazon DocumentDB 叢集時允許無效的憑證之前,您應該先了解風險。
若要使用 從 Mac OS 連線至 Amazon DocumentDB 叢集 AWS CLI,請使用 `tlsAllowInvalidCertificates` 參數。
```
mongo --tls --host --username --password --port 27017 --tlsAllowInvalidCertificates
```