本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 更新您的 Amazon DocumentDB TLS 憑證 — GovCloud
**Topics**
+ [更新您的應用程式和 Amazon DocumentDB 叢集](#ca_cert_rotation-updating_application)
+ [疑難排解](#ca_cert_rotation-troubleshooting)
+ [常見問答集](#ca_cert_rotation-faq)
**注意**
此資訊適用於 GovCloud (美國西部) 和 GovCloud (美國東部) 區域中的使用者。
Amazon DocumentDB (具有 MongoDB 相容性) 叢集的憑證授權機構 (CA) 憑證將於 **2022 年 5 月 18** 日更新。如果您使用已啟用 Transport Layer Security (TLS) 的 Amazon DocumentDB 叢集 (預設設定),而且尚未輪換用戶端應用程式和伺服器憑證,則需要下列步驟來緩解應用程式和 Amazon DocumentDB 叢集之間的連線問題。
+ [步驟 1:下載新的 CA 憑證並更新您的應用程式](#ca_cert_rotation-pdt-updating_application_step1)
+ [步驟 2:更新伺服器憑證](#ca_cert_rotation-pdt-updating_application_step2)
CA 和伺服器憑證已更新為 Amazon DocumentDB 標準維護和安全最佳實務的一部分。先前的 CA 憑證將於 2022 年 5 月 18 日過期。用戶端應用程式必須將新的 CA 憑證新增至其信任存放區,而且必須更新現有的 Amazon DocumentDB 執行個體,才能在此過期日期之前使用新的 CA 憑證。
## 更新您的應用程式和 Amazon DocumentDB 叢集
請遵循本節所述步驟更新您應用程式的憑證授權機構憑證套件 ([步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1)) 和您叢集的伺服器憑證 ([步驟 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2))。將變更套用至您的生產環境前,我們強烈在開發或預備環境中測試這些步驟。
**注意**
您必須在您擁有 Amazon DocumentDB 叢集的每個 AWS 區域 中完成步驟 1 和 2。
### 步驟 1:下載新的 CA 憑證並更新您的應用程式
下載新的 CA 憑證並更新您的應用程式,以使用新的 CA 憑證來建立與特定區域中 Amazon DocumentDB 的 TLS 連線:
+ 對於 GovCloud (美國西部),請從 下載新的 CA 憑證套件[https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem)。此操作會下載名為 `us-gov-west-1-bundle.pem` 的檔案。
+ 對於 GovCloud (美國東部),請從 下載新的 CA 憑證套件[https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem)。此操作會下載名為 `us-gov-east-1-bundle.pem` 的檔案。
**注意**
如果您要存取同時包含舊 CA 憑證 (`rds-ca-2017-root.pem`) 和新 CA 憑證 (`rds-ca-rsa2048-g1.pem`、 或 `rds-ca-ecc384-g1.pem`) 的金鑰存放區`rds-ca-rsa4096-g1.pem`,請確認金鑰存放區已選取您的憑證。如需每個憑證的詳細資訊,請參閱下面的步驟 2。
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem
```
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem
```
接著更新您的應用程式,以使用新的憑證套件。新的 CA 套件同時包含舊的 CA 憑證和新的 CA 憑證 (`rds-ca-rsa2048-g1.pem`、 `rds-ca-rsa4096-g1.pem`或 `rds-ca-ecc384-g1.pem`)。只要在新的 CA 套件中有這兩個憑證,即可用兩個步驟更新您的應用程式和叢集。
2021 年 12 月 21 日之後的任何 CA 憑證套件下載都應使用新的 CA 憑證套件。如果要確認應用程式是否有在使用最新的憑證授權機構憑證套件,請參閱[我如何確定自己使用的是最新的 CA 套件?](#ca_cert_rotation_pdt-faq_question13)。如果您已經在應用程式中使用最新的憑證授權機構憑證套件,可以跳到步驟 2。
如需搭配您的應用程式使用 CA 套件的範例,請參閱 [加密傳輸中的資料](security.encryption.ssl.md) 和 [使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)。
**注意**
MongoDB Go Driver 1.2.1 目前只接受 `sslcertificateauthorityfile` 中的一個 CA 伺服器憑證。請參閱[使用已啟用的 TLS 連線](connect_programmatically.md#connect_programmatically-tls_enabled)來了解如何在 TLS 啟用時,使用 Go 連線至 Amazon DocumentDB。
### 步驟 2:更新伺服器憑證
應用程式更新為使用新的 CA 套件後,下一步是透過修改 Amazon DocumentDB 叢集中的每個執行個體來更新伺服器憑證。若要修改執行個體以使用新的伺服器憑證,請參閱下列指示。
Amazon DocumentDB 提供下列 CAs 來簽署資料庫執行個體的資料庫伺服器憑證:
+ **rds-ca-ecc384-g1** — 使用具有 ECC 384 私有金鑰演算法和 SHA384 簽署演算法的憑證授權機構。此 CA 支援自動伺服器憑證輪換。這僅在 Amazon DocumentDB 4.0 和 5.0 上受支援。
+ **rds-ca-rsa2048-g1** - 在大多數 AWS 區域中搭配 RSA 2048 私有金鑰演算法和 SHA256 簽署演算法使用憑證授權機構。此 CA 支援自動伺服器憑證輪換。
+ **rds-ca-rsa4096-g1** - 使用憑證授權單位搭配 RSA 4096 私有金鑰演算法和 SHA384 簽署演算法。此 CA 支援自動伺服器憑證輪換。
**注意**
如果您使用的是 AWS CLI,您可以使用 [describe-certificates](https://docs.aws.amazon.com/cli/latest/reference/docdb/describe-certificates.html) 來查看上述憑證授權單位的有效性。
**注意**
Amazon DocumentDB 4.0 和 5.0 執行個體**不需要**重新啟動。
更新您的 Amazon DocumentDB 3.6 執行個體需要重新啟動,這可能會導致服務中斷。更新伺服器憑證前,請先確認您已完成[步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1)。
------
#### [ Using the AWS 管理主控台 ]
完成下列步驟,使用 來識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS 管理主控台。
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中選擇**叢集**。
1. 您可能需要識別哪些執行個體仍在舊的伺服器憑證上 (`rds-ca-2017`)。您可以在預設隱藏的**憑證授權單位**欄中執行此操作。若要顯示 **Certificate authority (憑證授權單位) 資料欄**,請執行下列操作:
1. 選擇 **Settings (設定)** 圖示。
1. 在可見資料欄清單下方,選擇 **Certificate authority (憑證授權單位)** 資料欄。
1. 選擇 **Confirm (確認)** 以儲存變更。
1. 現在回到叢集導覽方塊中,您會看到**叢集識別符**欄。您的執行個體會列在叢集下,類似於下面的螢幕擷取畫面。
1. 勾選您感興趣的執行個體左側的方塊。
1. 選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在**憑證授權單位**下,選取此執行個體的新伺服器憑證 (`rds-ca-rsa4096-g1`、 `rds-ca-rsa2048-g1`或 `rds-ca-ecc384-g1`)。
1. 您可以在下一頁上查看變更摘要。請注意,修改執行個體之前,會出現其他提醒來提醒您確保應用程式正使用最新的憑證 CA 套件,以免導致連線中斷。
1. 您可以在下次維護時段中套用修改,或立即套用。如果您想要立即修改伺服器憑證,請使用 **Apple Immediately (立即套用)** 選項。
1. 選擇 **Modify instance (修改執行個體)** 以完成更新。
------
#### [ Using the AWS CLI ]
完成下列步驟,使用 來識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS CLI。
1. 若要立即修改執行個體,請對叢集中的每個執行個體執行下列命令。使用下列其中一個憑證:`rds-ca-rsa2048-g1``rds-ca-rsa4096-g1`、 或 `rds-ca-ecc384-g1`。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. 若要修改叢集內的執行個體,以在叢集的下一個維護時段使用新的憑證授權機構憑證,請對叢集中的每個執行個體執行下列命令。使用下列其中一個憑證:`rds-ca-rsa2048-g1`、 `rds-ca-rsa4096-g1`或 `rds-ca-ecc384-g1`。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
------
## 疑難排解
如果您在憑證輪換的過程中無法連接到叢集,我們建議您執行下列動作:
+ **重新啟動您的執行個體。**輪換新憑證需要重新啟動每個執行個體。如果您將新憑證套用至一或多個執行個體,但未重新啟動它們,請重新啟動執行個體以套用新憑證。如需詳細資訊,請參閱[重新啟動 Amazon DocumentDB 執行個體](db-instance-reboot.md)。
+ **確認您的用戶端使用最新的憑證服務套件。**請參閱 [我如何確定自己使用的是最新的 CA 套件?](#ca_cert_rotation_pdt-faq_question13)。
+ **確認您的執行個體使用最新的憑證。**請參閱 [如何知道哪些 Amazon DocumentDB 執行個體正在使用舊/新伺服器憑證?](#ca_cert_rotation_pdt-faq_question5)。
+ **確認您的應用程式正在使用最新的憑證 CA。**某些驅動程式 (例如 Java 和 Go) 需要額外的程式碼,才能將憑證套件中的多個憑證匯入信任存放區。如需使用 TLS 連線至 Amazon DocumentDB 的詳細資訊,請參閱 [以程式設計方式連線至 Amazon DocumentDB](connect_programmatically.md)。
+ **聯絡支援。**如果您有疑問或問題,請聯絡 [支援](https://aws.amazon.com/premiumsupport)。
## 常見問答集
以下是與 TLS 憑證相關的一些常見問題。
### 要是我有問題,該怎麼辦?
如果您有疑問或問題,請聯絡 [支援](https://aws.amazon.com/premiumsupport)。
### 如何知道我是否使用 TLS 連線到我的 Amazon DocumentDB 叢集?
您可以檢查叢集參數群組的 `tls` 參數,判斷您的叢集是否正在使用 TLS。如果 `tls` 參數設為 `enabled`,即表示您正在使用 TLS 憑證連線到叢集。如需詳細資訊,請參閱[管理 Amazon DocumentDB 叢集參數群組](cluster_parameter_groups.md)。
### 為何需要更新 CA 和伺服器憑證?
Amazon DocumentDB CA 和伺服器憑證已更新,作為 Amazon DocumentDB 標準維護和安全性最佳實務的一部分。目前的 CA 和伺服器憑證將於 2022 年 5 月 18 日星期三過期。
### 如果在過期日期之前未採取任何動作,會發生什麼情況?
如果您使用 TLS 連線至 Amazon DocumentDB 叢集,且未在 2022 年 5 月 18 日之前進行變更,則透過 TLS 連線的應用程式將無法再與 Amazon DocumentDB 叢集通訊。
Amazon DocumentDB 不會在過期前自動輪換資料庫憑證。您必須在過期日期之前或之後更新您的應用程式和叢集,以使用新的 CA 憑證。
### 如何知道哪些 Amazon DocumentDB 執行個體正在使用舊/新伺服器憑證?
若要識別仍使用舊伺服器憑證的 Amazon DocumentDB 執行個體,您可以使用 Amazon DocumentDB AWS 管理主控台 或 AWS CLI。
#### 使用 AWS 管理主控台
**辨識在您的叢集中仍在使用舊憑證的執行個體**
1. 登入 AWS 管理主控台,並在 [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb):// 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 執行個體所在的 。
1. 在主控台左側的導覽窗格中,選擇 **Instances (執行個體)**。
1. **憑證授權單位**欄 (預設為隱藏) 會顯示哪些執行個體仍在舊的伺服器憑證 (`rds-ca-2017`) 和新的伺服器憑證 (`rds-ca-rsa2048-g1`、 `rds-ca-rsa4096-g1`或 ) 上`rds-ca-ecc384-g1`。若要顯示 **Certificate authority (憑證授權單位) 資料欄**,請執行下列操作:
1. 選擇 **Settings (設定)** 圖示。
1. 在可見資料欄清單下方,選擇 **Certificate authority (憑證授權單位)** 資料欄。
1. 選擇 **Confirm (確認)** 以儲存變更。
#### 使用 AWS CLI
若要辨識您的叢集中正使用舊伺服器憑證的執行個體,請搭配下列參數使用 `describe-db-clusters` 命令。
```
aws docdb describe-db-instances \
--filters Name=engine,Values=docdb \
--query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
```
### 如何修改 Amazon DocumentDB 叢集中的個別執行個體以更新伺服器憑證?
建議您同時為指定叢集中的所有執行個體更新伺服器憑證。若要修改叢集中的執行個體,您可以使用主控台或 AWS CLI。
**注意**
更新您的執行個體需要重新開機,這可能會導致服務中斷。更新伺服器憑證前,請先確認您已完成[步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1)。
#### 使用 AWS 管理主控台
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中,選擇 **Instances (執行個體)**。
1. **Certificate authority (憑證授權機構)** 欄 (預設為隱藏) 會顯示哪些執行個體仍在舊的伺服器憑證 (`rds-ca-2017`) 上。若要顯示 **Certificate authority (憑證授權單位) 資料欄**,請執行下列操作:
1. 選擇 **Settings (設定)** 圖示。
1. 在可見資料欄清單下方,選擇 **Certificate authority (憑證授權單位)** 資料欄。
1. 選擇 **Confirm (確認)** 以儲存變更。
1. 選取要修改的執行個體。
1. 選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在**憑證授權單位**下,選取此執行個體的其中一個新伺服器憑證 (`rds-ca-rsa2048-g1``rds-ca-rsa4096-g1`、 或 `rds-ca-ecc384-g1`)。
1. 您可以在下一頁上查看變更摘要。請注意,修改執行個體之前,會出現其他提醒來提醒您確保應用程式正使用最新的憑證 CA 套件,以免導致連線中斷。
1. 您可以在下次維護時段中套用修改,或立即套用。
1. 選擇 **Modify instance (修改執行個體)** 以完成更新。
#### 使用 AWS CLI
完成下列步驟,使用 來識別和輪換現有 Amazon DocumentDB 執行個體的舊伺服器憑證 AWS CLI。
1. 若要立即修改執行個體,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. 若要修改叢集內的執行個體,以在叢集的下一個維護時段使用新的憑證授權機構憑證,請對叢集中的每個執行個體執行下列命令。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
### 如果我將新的執行個體新增至現有叢集,會發生什麼情況?
所有建立的新執行個體將會使用舊的伺服器憑證,且需要使用舊 CA 憑證的 TLS 連線。2022 年 3 月 21 日之後建立的任何新 Amazon DocumentDB 執行個體都會預設為使用新憑證。
### 如果我的叢集發生執行個體替換或容錯移轉作業,會發生什麼情況?
如果您的叢集發生執行個體替換作業,建立的新執行個體會繼續使用執行個體之前使用的相同伺服器憑證。我們建議您同時為所有執行個體更新伺服器憑證。如果我的叢集發生容錯移轉作業,會在新的主要伺服器上會使用伺服器憑證。
### 如果我沒有使用 TLS 連線到我的叢集,我仍需更新各個執行個體嗎?
如果您不是使用 TLS 連線到 Amazon DocumentDB 叢集,則不需要任何動作。
### 如果我沒有使用 TLS 連線到自己的叢集,但打算在未來這樣做,我該怎麼辦?
如果您在 2022 年 3 月 21 日之前建立叢集,請遵循上一節[的步驟 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1) [和步驟 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2),以確保您的應用程式使用更新的 CA 套件,且每個 Amazon DocumentDB 執行個體都使用最新的伺服器憑證。如果您在 2022 年 3 月 21 日之後建立叢集,您的叢集將已有最新的伺服器憑證。若要驗證您的應用程式是否使用最新的 CA 套件,請參閱 [如果我沒有使用 TLS 連線到我的叢集,我仍需更新各個執行個體嗎?](#ca_cert_rotation_pdt-faq_question10)
### 截止日期是否可以延長到 2022 年 5 月 18 日之後?
如果您的應用程式透過 TLS 連線,則截止日期無法延長至 2022 年 5 月 18 日之後。
### 我如何確定自己使用的是最新的 CA 套件?
由於相容性因素,舊的與新的 CA 套件檔案都會命名為 `us-gov-west-1-bundle.pem`。您也可以使用如 `openssl` 或 `keytool` 等工具來檢查 CA 套件。
### 我為何在 CA 套件的名稱中看到「RDS」?
對於某些管理功能,例如憑證管理,Amazon DocumentDB 會使用與 Amazon Relational Database Service (Amazon RDS) 共用的操作技術。
### 新憑證何時過期?
新的伺服器憑證將過期 (通常),如下所示:
+ **rds-ca-rsa2048-g1** — 2061 年過期
+ **rds-ca-rsa4096-g1** — 過期 2121
+ **rds-ca-ecc384-g1** — 過期 2121
### 如果在憑證過期之前未採取行動,我會看到哪些類型的錯誤?
錯誤訊息會根據您的驅動程式而有所不同。一般而言,您會看到包含「憑證已過期」字串的憑證驗證錯誤。
### 如果我套用新的伺服器憑證,我可以還原為舊的伺服器憑證嗎?
如果您需要將執行個體還原為舊憑證,建議您對叢集中的所有執行個體都這樣做。您可以使用 AWS 管理主控台 或 來還原叢集中每個執行個體的伺服器憑證 AWS CLI。
#### 使用 AWS 管理主控台
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) 開啟 Amazon DocumentDB 主控台。
1. 在畫面右上角的區域清單中,選擇 AWS 區域 叢集所在的 。
1. 在主控台左側的導覽窗格中,選擇 **Instances (執行個體)**。
1. 選取要修改的執行個體。選擇 **Actions (動作)**,然後選擇 **Modify (修改)**。
1. 在**憑證授權單位**下,您可以選取舊的伺服器憑證 ()`rds-ca-2017`。
1. 選擇 **Continue (繼續)** 以檢視修改摘要。
1. 在此產生的頁面中,您可以選擇排程要在下一次維護時段中套用的修改項目,或立即套用修改項目。進行選取,並選擇 **Modify instance (修改執行個體)**。
**注意**
若您選擇立即套用您的修改項目,則系統會一併套用待定修改佇列內的任何變更。如果有任何待定修改需要停機才能執行,則選擇此選項可能會導致未預期的停機。
#### 使用 AWS CLI
```
aws docdb modify-db-instance --db-instance-identifier {{}} ca-certificate-identifier rds-ca-2017 {{<--apply-immediately | --no-apply-immediately>}}
```
如果選擇 `--no-apply-immediately`,將在叢集的下一個維護時段套用變更。
### 如果我們從快照或時間點還原回復,是否會有新的伺服器憑證?
如果您在 2022 年 3 月 21 日之後還原快照或執行point-in-time還原,則建立的新叢集將使用新的 CA 憑證。
### 如果我無法從 Mac OS X Catalina 直接連線至 Amazon DocumentDB 叢集,該怎麼辦?
Mac OS X Catalina 已更新受信任憑證的需求。信任的憑證現在必須在 825 天內有效 (請參閱 [https://support.apple.com/en-us/HT210176](https://support.apple.com/en-us/HT210176))。Amazon DocumentDB 執行個體憑證的有效期超過四年,超過 Mac OS X 上限。若要從執行 Mac OS X Catalina 的電腦直接連線至 Amazon DocumentDB 叢集,您必須在建立 TLS 連線時允許無效的憑證。在這種情況下,無效的憑證表示有效期間超過 825 天。在連線至 Amazon DocumentDB 叢集時允許無效的憑證之前,您應該先了解風險。
若要使用 從 OS X Catalina 連線至 Amazon DocumentDB 叢集 AWS CLI,請使用 `tlsAllowInvalidCertificates` 參數。
```
mongo --tls --host --username --password --port 27017 --tlsAllowInvalidCertificates
```