本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新 Lightsail 数据库的 CA 证书版本
Amazon Lightsail 发布了新的证书颁发机构 (CA) 证书,用于使用 SSL/TLS 连接到您的托管数据库。本指南描述如何升级到新的 CA 证书。您仅可通过使用 update-relational-database API 操作升级证书。新证书称为 rds-ca-rsa2048-g1、rds-ca-rsa4096-g1 和 rds-ca-ecc384-g1。旧证书称为 rds-ca-2019。我们提供 CA 证书作为 AWS 安全最佳实践。有关托管数据库的 CA 证书和受支持的 AWS 区域的信息,请参阅为托管数据库下载 SSL 证书。
旧的 CA 证书(rds-ca-2019)将于 2024 年 8 月 22 日到期。因此,我们强烈建议您尽快完成本指南中的步骤,修改您的托管式数据库以使用新证书。如果您的应用程序在 2024 年 8 月 22 日SSL/TLS, no action is required. If these steps are not
completed, your applications will fail to connect to your managed database using SSL/TLS之后未使用连接到 Lightsail 托管数据库。
默认情况下,在 2024 年 1 月 26 日之后创建的新托管数据库将使用 rds-ca-rsa2048-g1 证书。如果您希望临时修改新的托管数据库以使用旧证书(rds-ca-2019),可以使用 AWS Command Line Interface (AWS CLI)进行修改。在 2024 年 1 月 26 日之前创建的任何托管数据库都会使用这些 rds-ca-2019 证书,直到您将它们更新为 rds-ca-rsa2048-g1、rds-ca-rsa4096-g1 和 rds-ca-ecc384-g1 证书。
注意
在生产环境中使用本指南中的步骤之前,请先在开发或测试环境中进行测试。
先决条件
-
在完成此过程中的步骤之前,请更新您的数据库客户端应用程序以使用新 SSL/TLS 证书。
更新应用程序以获取新 SSL/TLS 证书的方法取决于您的特定应用程序。与您的应用程序开发人员合作更新SSL/TLS certificates for your applications. To learn more about updating applications for new SSL/TLS证书,请参阅《Amazon Relati onal Database Service 用户指南》中的更新应用程序以使用新的 SSL/TLS 证书连接到 MySQL 数据库实例或更新应用程序以使用新证书连接到 PostgreSQL SSL/TLS 数据库实例。
-
在本指南中,您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳,您可以直接从 Lightsail 控制台启动它。使用 CloudShell,您可以使用首选外壳运行 AWS Command Line Interface (AWS CLI) 命令,例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具,即可完成此操作。有关如何设置和使用的 CloudShell更多信息,请参阅 Lightsai AWS CloudShell l 中的。
识别托管数据库的有效 CA 证书
完成以下步骤以识别您的 Lightsail 数据库实例的有效 CA 证书。
-
打开终端、AWS CloudShell 或命令提示符窗口。
-
输入以下命令以识别托管数据库的有效 CA 证书。
aws lightsail get-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion| grep "caCertificateIdentifier"在命令中,
DatabaseName替换为要修改的数据库的DatabaseRegion名称以及数据库实例所在 AWS 区域 的名称。示例
aws lightsail get-relational-database --relational-database-nameDatabase-1--regionus-east-1| grep "caCertificateIdentifier"该命令将返回您数据库的有效 CA 证书的 ID。
示例
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
修改托管式数据库以使用新 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用其中一个新的 CA 证书(rds-ca-rsa2048-g1rds-ca-rsa4096-g1、和rds-ca-ecc384-g1)。
重要
在更新数据库上的 CA 证书之前,请先更新使用 CA 证书的所有客户端应用程序。
-
打开终端、AWS CloudShell 或命令提示符窗口。
-
输入以下命令以在托管数据库上使用新证书。
aws lightsail update-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion--ca-certificate-identifier rds-ca-rsa2048-g1在命令中,
DatabaseName替换为要修改的数据库的DatabaseRegion名称以及数据库实例所在 AWS 区域 的名称。示例
aws lightsail update-relational-database --relational-database-nameDatabase-1--regionus-east-1--ca-certificate-identifier rds-ca-rsa2048-g1托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加
--apply-immediately参数,则会立即更新。
修改托管式数据库以使用旧 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用旧的 CA 证书 () rds-ca-2019。仅在使用新证书(rds-ca-rsa2048-g1、rds-ca-rsa4096-g1 和 rds-ca-ecc384-g1)时遇到严重问题并需要暂时恢复旧证书时执行此操作。
重要
在更新数据库上的 CA 证书之前,请先更新使用 CA 证书的所有客户端应用程序。
-
打开终端、AWS CloudShell 或命令提示符窗口。
-
输入以下命令以在托管式数据库上使用
rds-ca-2019。aws lightsail update-relational-database --relational-database-nameDatabaseName--regionDatabaseRegion--ca-certificate-identifier rds-ca-2019在命令中,
DatabaseName替换为要修改的数据库的DatabaseRegion名称以及数据库实例所在 AWS 区域 的名称。示例
aws lightsail update-relational-database --relational-database-nameDatabase-1--regionus-east-1--ca-certificate-identifier rds-ca-2019托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加
--apply-immediately参数,则会立即更新。
