View a markdown version of this page

Atualize a versão do certificado CA para seu banco de dados Lightsail - Amazon Lightsail
Pré-requisitosIdentificar o certificado CA ativo do seu banco de dados gerenciadoModificar o banco de dados gerenciado para usar o novo certificado CAModificar o banco de dados gerenciado para usar o certificado CA antigo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualize a versão do certificado CA para seu banco de dados Lightsail

O Amazon Lightsail publicou novos certificados de Autoridade Certificadora (CA) para conexão com seu banco de dados gerenciado usando SSL/TLS. Este guia descreve como atualizar para o novo certificado CA. Você apenas pode atualizar o certificado usando a ação de API update-relational-database. Os novos certificados são chamados de rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 e rds-ca-ecc384-g1. O certificado antigo é chamado de rds-ca-2019. Fornecemos os certificados CA como uma prática recomendada AWS de segurança. Para obter informações sobre os certificados CA para seu banco de dados gerenciado e as Regiões da AWS, consulte Fazer download de um certificado SSL para seu banco de dados gerenciado.

O certificado CA antigo (rds-ca-2019) expira em 22 de agosto de 2024. Portanto, é altamente recomendável concluir as etapas deste guia o mais rápido possível para modificar seu banco de dados gerenciado a fim de usar o novo certificado. Se seus aplicativos não se conectarem ao banco de dados gerenciado do Lightsail SSL/TLS, no action is required. If these steps are not completed, your applications will fail to connect to your managed database using SSL/TLS usando depois de 22 de agosto de 2024.

Por padrão, os novos bancos de dados gerenciados criados após 26 de janeiro de 2024 usam o certificado rds-ca-rsa2048-g1. Se você deseja modificar temporariamente os novos bancos de dados gerenciados para usar o certificado antigo (rds-ca-2019), use a AWS Command Line Interface (AWS CLI). Todos os bancos de dados gerenciados criados antes de 26 de janeiro de 2024 usarão o certificado rds-ca-2019 até que você os atualize para os certificados rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 e rds-ca-ecc384-g1.

nota

Teste as etapas deste guia em um ambiente de desenvolvimento ou preparação antes de usá-los em seus ambientes de produção.

Pré-requisitos

Identificar o certificado CA ativo do seu banco de dados gerenciado

Conclua as etapas a seguir para identificar o certificado CA ativo para sua instância de banco de dados Lightsail.

  1. Abra uma janela de terminal, do AWS CloudShell ou de prompt de comando.

  2. Digite o seguinte comando para identificar o certificado CA ativo em seu banco de dados gerenciado.

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    No comando, DatabaseName substitua pelo nome do banco de dados que você deseja modificar e DatabaseRegion pelo nome em Região da AWS que a instância do banco de dados está.

    Exemplo

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    O comando retornará o ID do certificado CA ativo do banco de dados.

    Exemplo

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

Modificar o banco de dados gerenciado para usar o novo certificado CA

Conclua as etapas a seguir para modificar seu banco de dados gerenciado no Lightsail para usar um dos novos certificados CA rds-ca-rsa2048-g1 (rds-ca-rsa4096-g1, e). rds-ca-ecc384-g1

Importante

Atualize todas as aplicações cliente que usam o certificado CA antes de atualizá-lo no banco de dados.

  1. Abra uma janela de terminal, do AWS CloudShell ou de prompt de comando.

  2. Digite o seguinte comando para usar o novo certificado em seu banco de dados gerenciado.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1

    No comando, DatabaseName substitua pelo nome do banco de dados que você deseja modificar e DatabaseRegion pelo nome em Região da AWS que a instância do banco de dados está.

    Exemplo

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    O certificado CA usado pelo banco de dados gerenciado será atualizado na próxima janela de manutenção do banco de dados, ou imediatamente se você adicionar o parâmetro --apply-immediately ao final do comando.

Modificar o banco de dados gerenciado para usar o certificado CA antigo

Conclua as etapas a seguir para modificar seu banco de dados gerenciado no Lightsail para usar o certificado CA antigo (). rds-ca-2019 Faça isso apenas se você tiver algum problema crítico com um dos novos certificados (rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 e rds-ca-ecc384-g1) e precisar reverter temporariamente para um antigo.

Importante

Atualize todas as aplicações cliente que usam o certificado CA antes de atualizá-lo no banco de dados.

  1. Abra uma janela de terminal, do AWS CloudShell ou de prompt de comando.

  2. Insira o seguinte comando para usar o rds-ca-2019 em seu banco de dados gerenciado.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019

    No comando, DatabaseName substitua pelo nome do banco de dados que você deseja modificar e DatabaseRegion pelo nome em Região da AWS que a instância do banco de dados está.

    Exemplo

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019

    O certificado CA usado pelo banco de dados gerenciado será atualizado na próxima janela de manutenção do banco de dados, ou imediatamente se você adicionar o parâmetro --apply-immediately ao final do comando.