View a markdown version of this page

Actualice la versión del certificado de CA para su base de datos de Lightsail - Amazon Lightsail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualice la versión del certificado de CA para su base de datos de Lightsail

Amazon Lightsail ha publicado nuevos certificados de autoridad de certificación (CA) para conectarse a su base de datos gestionada mediante SSL/TLS. En esta guía se describe la forma de actualizar al nuevo certificado de CA. Solo puede hacerlo mediante la acción de la API de update-relational-database. Los nuevos certificados se denominan rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1. El anterior tiene el nombre rds-ca-2019. Proporcionamos los certificados de CA como práctica recomendada de seguridad. AWS Para obtener más información sobre estos certificados de la base de datos administrada y las Regiones de AWS que se admiten, consulte Descarga de un certificado SSL para la base de datos administrada.

El certificado de CA anterior (rds-ca-2019) vence el 22 de agosto de 2024. Por lo tanto, le recomendamos que complete los pasos de esta guía tan pronto como sea posible para modificar la base de datos administrada para que utilice el nuevo certificado. Si sus aplicaciones no se conectan a la base de datos gestionada por Lightsail después del 22 de SSL/TLS, no action is required. If these steps are not completed, your applications will fail to connect to your managed database using SSL/TLS agosto de 2024.

Las nuevas bases de datos administradas creadas después del 26 de enero de 2024 utilizarán el certificado de rds-ca-rsa2048-g1 de forma predeterminada. Si desea modificar las nuevas bases de datos temporalmente para que utilicen el certificado antiguo (rds-ca-2019), puede hacerlo mediante AWS Command Line Interface (AWS CLI). Todas las bases de datos administradas creadas antes del 26 de enero de 2024 utilizan el certificado rds-ca-2019 hasta que las actualice a los certificados rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1.

nota

Pruebe los pasos de esta guía en un entorno de desarrollo o ensayo antes de usarlos en los entornos de producción.

Requisitos previos

Identificación del certificado de CA activo de la base de datos administrada

Complete los siguientes pasos para identificar el certificado de CA activo para su instancia de base de datos de Lightsail.

  1. Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.

  2. Escriba el siguiente comando para identificar el certificado de CA activo de la base de datos administrada.

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de base de datos.

    Ejemplo

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    El comando mostrará la identificación del certificado de CA activo de la base de datos.

    Ejemplo

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación nuevo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar uno de los nuevos certificados de CA rds-ca-rsa2048-g1 (rds-ca-rsa4096-g1, y). rds-ca-ecc384-g1

importante

Actualice todas las aplicaciones cliente que utilicen el certificado de CA antes de actualizar el certificado de CA en la base de datos.

  1. Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.

  2. Escriba el siguiente comando para utilizar el certificado nuevo en la base de datos administrada.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1

    En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de la base de datos.

    Ejemplo

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    El certificado de CA que utiliza la base de datos administrada se actualizará durante el siguiente periodo de mantenimiento de la base de datos o inmediatamente si se agrega el parámetro --apply-immediately al final del comando.

Modificación de la base de datos administrada para que utilice el certificado de entidad de certificación antiguo

Complete los siguientes pasos para modificar la base de datos gestionada en Lightsail para usar el antiguo certificado de CA (). rds-ca-2019 Haga esto en caso de que sufra un problema crítico con los nuevos certificados (rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 y rds-ca-ecc384-g1) y necesite volver temporalmente al anterior.

importante

Actualice todas las aplicaciones cliente que utilicen el certificado de CA antes de actualizar el certificado de CA en la base de datos.

  1. Abra una ventana de terminal, de AWS CloudShell o del símbolo del sistema de Windows.

  2. Escriba el siguiente comando para utilizar rds-ca-2019 en la base de datos administrada.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019

    En el comando, DatabaseName sustitúyalo por el nombre de la base de datos que desea modificar y DatabaseRegion por el nombre en el Región de AWS que se encuentra la instancia de la base de datos.

    Ejemplo

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019

    El certificado de CA que utiliza la base de datos administrada se actualizará durante el siguiente periodo de mantenimiento de la base de datos o inmediatamente si se agrega el parámetro --apply-immediately al final del comando.