轉換至SSL連線的ACM憑證

Amazon Redshift 將叢集上的SSL憑證取代為 AWS Certificate Manager （ACM）發行的憑證。ACM 是受信任的公有憑證授權機構（CA），受最新系統信任。您可能需要更新目前的信任根 CA 憑證，才能繼續使用連線到叢集SSL。

只有在下列所有情況都存在時，此變更才會影響您：

您的SQL用戶端或應用程式使用連線至 Amazon Redshift 叢集，SSLsslMode連線選項設定為 require、 verify-ca或 verify-full組態選項。
您未使用 Amazon Redshift ODBC或JDBC驅動程式，或者使用 1.3ODBC.7.1000 版或 1.2.8.1005 JDBC版之前的 Amazon Redshift 驅動程式。

如果此變更會在 Amazon Redshift 商業區域影響到您，則您必須在 2017 年 10 月 23 日之前更新目前的信任根 CA 憑證。Amazon Redshift 將從現在到 2017 年 10 月 23 日之間轉換您的叢集以使用ACM憑證。此變更對叢集效能或可用性的影響應該非常小，或完全不影響。

如果此變更影響 AWS GovCloud (US) （美國）區域的您，則您必須在 2020 年 4 月 1 日之前更新目前的信任根 CA 憑證，以避免服務中斷。從此日期開始，使用SSL加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權機構（CA）。用戶端在連線到 Amazon Redshift 叢集時，會使用受信任的憑證授權單位來確認該叢集的身分。需要您的動作來更新SQL用戶端和應用程式，以使用包含新的受信任 CA 的更新憑證套件。

重要

在 2021 年 1 月 5 日中國區域中，Amazon Redshift 會將叢集上的SSL憑證取代為 AWS Certificate Manager （ACM）發行的憑證。如果此變更會在中國 (北京) 區域或中國 (寧夏) 區域影響到您，則您必須在 2021 年 1 月 5 日之前更新目前的信任根 CA 憑證，以避免服務中斷。從此日期開始，使用SSL加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權機構（CA）。用戶端在連線到 Amazon Redshift 叢集時，會使用受信任的憑證授權單位來確認該叢集的身分。需要您的動作來更新SQL用戶端和應用程式，以使用包含新的受信任 CA 的更新憑證套件。

使用最新的 Amazon Redshift ODBC或JDBC驅動程式
使用舊版 Amazon Redshift ODBC或JDBC驅動程式
使用其他SSL連線類型

使用最新的 Amazon Redshift ODBC或JDBC驅動程式

首選方法是使用最新的 Amazon Redshift ODBC或JDBC驅動程式。從 1.3.7.1000 ODBC版和 1.2.8.1005 JDBC版開始的 Amazon Redshift 驅動程式會自動管理從 Amazon Redshift 自我簽署憑證到ACM憑證的轉換。若要下載最新的驅動程式，請參閱為 Amazon Redshift 設定JDBC驅動程式 2.1 版的連線。

如果您使用最新的 Amazon Redshift JDBC驅動程式，最好不要在 JVM 選項-Djavax.net.ssl.trustStore中使用。如果您必須使用 -Djavax.net.ssl.trustStore，請將 Redshift 憑證授權機構套件匯入其指向的信任憑證庫。如需下載資訊，請參閱 SSL。如需詳細資訊，請參閱將 Amazon Redshift 憑證授權機構套件匯入 TrustStore。

使用舊版 Amazon Redshift ODBC或JDBC驅動程式

如果您的 ODBC DSN 設定為 SSLCertPath，請覆寫指定路徑中的憑證檔案。
如果 SSLCertPath 未設定，則覆寫驅動程式DLL位置root.crt中名為的憑證檔案。

如果您必須使用 1.2.8.1005 版之前的 Amazon Redshift JDBC驅動程式，請執行下列其中一項操作：

如果您的JDBC連線字串使用 sslCert選項，請移除 sslCert選項。然後將 Redshift 憑證授權機構套件匯入您的 Java TrustStore。如需下載資訊，請參閱 SSL。如需詳細資訊，請參閱將 Amazon Redshift 憑證授權機構套件匯入 TrustStore。
如果您使用 Java 命令列 -Djavax.net.ssl.trustStore 選項，可能的話，請從命令列中移除。然後將 Redshift 憑證授權機構套件匯入您的 Java TrustStore。如需下載資訊，請參閱 SSL。如需詳細資訊，請參閱將 Amazon Redshift 憑證授權機構套件匯入 TrustStore。

將 Amazon Redshift 憑證授權機構套件匯入 TrustStore

您可以使用 redshift-keytool.jar將 Amazon Redshift Certificate Authority 套件中的 CA 憑證匯入 Java TrustStore 或私有信任存放區。

若要將 Amazon Redshift 憑證授權單位套件匯入至 TrustStore

下載 redshift-keytool.jar。
執行以下任意一項：
- 若要將 Amazon Redshift Certificate Authority 套件匯入 Java TrustStore，請執行下列命令。
```
java -jar redshift-keytool.jar -s
```
- 若要將 Amazon Redshift Certificate Authority 套件匯入您的私有 TrustStore，請執行下列命令：
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

使用其他SSL連線類型

如果您使用下列任何一項來連接，請遵循本節的步驟：

開放原始碼ODBC驅動程式
開放原始碼JDBC驅動程式
Amazon Redshift RSQL 命令列介面
任何以 libpq 為基礎的語言繫結，例如 psycopg2 (Python) 和 ruby-pg (Ruby)

若要將ACM憑證與其他SSL連線類型搭配使用：

下載 Amazon Redshift 憑證授權機構套件。如需下載資訊，請參閱 SSL。
將套件中的憑證放入 root.crt 檔案中。
- 在 Linux 和 macOS X 作業系統上，此檔案是 ~/.postgresql/root.crt。
- 在 Microsoft Windows 上，此檔案是 %APPDATA%\postgresql\root.crt。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

設定連線的安全選項

從用戶端工具和程式碼連線