Requisitos previos Identificación del certificado de CA activo de la base de datos administrada Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo

Actualice la versión del certificado de CA para su base de datos de Lightsail

Amazon Lightsail ha publicado nuevos certificados de autoridad de certificación (CA) para conectarse a su base de datos gestionada mediante SSL/TLS. En esta guía se describe la forma de actualizar al nuevo certificado de CA. Solo puede hacerlo mediante la acción de la API de update-relational-database. Los nuevos certificados se denominan rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1. El anterior tiene el nombre rds-ca-2019. Proporcionamos los certificados de CA como práctica recomendada de seguridad. AWS Para obtener más información sobre estos certificados de la base de datos administrada y las Regiones de AWS que se admiten, consulte Descarga de un certificado SSL para la base de datos administrada.

El certificado de CA anterior (rds-ca-2019) vence el 22 de agosto de 2024. Por lo tanto, le recomendamos que complete los pasos de esta guía tan pronto como sea posible para modificar la base de datos administrada para que utilice el nuevo certificado. Si sus aplicaciones no se conectan a la base de datos gestionada por Lightsail después del 22 de SSL/TLS, no action is required. If these steps are not completed, your applications will fail to connect to your managed database using SSL/TLS agosto de 2024.

Las nuevas bases de datos administradas creadas después del 26 de enero de 2024 utilizarán el certificado de rds-ca-rsa2048-g1 de forma predeterminada. Si desea modificar las nuevas bases de datos temporalmente para que utilicen el certificado antiguo (rds-ca-2019), puede hacerlo mediante AWS Command Line Interface (AWS CLI). Todas las bases de datos administradas creadas antes del 26 de enero de 2024 utilizan el certificado rds-ca-2019 hasta que las actualice a los certificados rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1.

nota

Pruebe los pasos de esta guía en un entorno de desarrollo o ensayo antes de usarlos en los entornos de producción.

Requisitos previos

Actualice las aplicaciones cliente de su base de datos para usar el nuevo SSL/TLS certificado antes de completar los pasos de este procedimiento.

Los métodos para actualizar las solicitudes de SSL/TLS certificados nuevos dependen de las aplicaciones específicas. Trabaje con los desarrolladores de aplicaciones para actualizar los SSL/TLS certificates for your applications. To learn more about updating applications for new SSL/TLS certificados; consulte Actualización de aplicaciones para conectarse a instancias de base de datos MySQL mediante nuevos certificados SSL/TLS o Actualización de aplicaciones para conectarse a instancias de base de datos PostgreSQL mediante certificados nuevos en la Guía del usuario de Amazon SSL/TLS Relational Database Service.
En esta guía, la utilizará para realizar la actualización. AWS CloudShell CloudShell es un shell preautenticado y basado en un navegador que puede iniciar directamente desde la consola Lightsail. Con él CloudShell, puede ejecutar comandos AWS Command Line Interface (AWS CLI) con el shell que prefiera, como el shell Bash o el shell Z. PowerShell Puede hacerlo sin necesidad de descargar ni instalar herramientas de línea de comandos. Para obtener más información sobre cómo configurar y usar CloudShell, consulte AWS CloudShell Lightsail.

Identificación del certificado de CA activo de la base de datos administrada

Complete los siguientes pasos para identificar el certificado de CA activo para su instancia de base de datos de Lightsail.

Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.
Escriba el siguiente comando para identificar el certificado de CA activo de la base de datos administrada.
```
aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"
```
En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de base de datos.

Ejemplo
```
aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"
```
El comando mostrará la identificación del certificado de CA activo de la base de datos.

Ejemplo
```
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
```

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar uno de los nuevos certificados de CA rds-ca-rsa2048-g1 (rds-ca-rsa4096-g1, y). rds-ca-ecc384-g1

importante

Actualice todas las aplicaciones cliente que utilicen el certificado de CA antes de actualizar el certificado de CA en la base de datos.

Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.
Escriba el siguiente comando para utilizar el certificado nuevo en la base de datos administrada.
```
aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1
```
En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de la base de datos.

Ejemplo
```
aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1
```
El certificado de CA que utiliza la base de datos administrada se actualizará durante el siguiente periodo de mantenimiento de la base de datos o inmediatamente si se agrega el parámetro --apply-immediately al final del comando.

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar el antiguo certificado de CA (). rds-ca-2019 Haga esto en caso de que sufra un problema crítico con los nuevos certificados (rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1) y necesite volver temporalmente al anterior.

importante

Actualice todas las aplicaciones cliente que utilicen el certificado de CA antes de actualizar el certificado de CA en la base de datos.

Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.
Escriba el siguiente comando para utilizar rds-ca-2019 en la base de datos administrada.
```
aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019
```
En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de la base de datos.

Ejemplo
```
aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019
```
El certificado de CA que utiliza la base de datos administrada se actualizará durante el siguiente periodo de mantenimiento de la base de datos o inmediatamente si se agrega el parámetro --apply-immediately al final del comando.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descarga del certificado SSL

Periodos de mantenimiento y copia de seguridad