本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 更新 Lightsail 数据库的 CA 证书版本
Amazon Lightsail 发布了新的证书颁发机构 (CA) 证书,用于使用 SSL/TLS 连接到您的托管数据库。本指南描述如何升级到新的 CA 证书。您仅可通过使用 [https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_UpdateRelationalDatabase.html](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_UpdateRelationalDatabase.html) API 操作升级证书。新证书称为 `rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1` 和 `rds-ca-ecc384-g1`。旧证书称为 `rds-ca-2019`。我们提供 CA 证书作为 AWS 安全最佳实践。有关托管数据库的 CA 证书和受支持的 AWS 区域的信息,请参阅[为托管数据库下载 SSL 证书](amazon-lightsail-download-ssl-certificate-for-managed-database.md)。
旧的 CA 证书(`rds-ca-2019`)将于 2024 年 8 月 22 日到期。因此,我们强烈建议您尽快完成本指南中的步骤,修改您的托管式数据库以使用新证书。如果您的应用程序在 2024 年 8 月 22 日SSL/TLS, no action is required. If these steps are not completed, your applications will fail to connect to your managed database using SSL/TLS之后未使用连接到 Lightsail 托管数据库。
默认情况下,在 2024 年 1 月 26 日之后创建的新托管数据库将使用 `rds-ca-rsa2048-g1` 证书。如果您希望临时修改新的托管数据库以使用旧证书(`rds-ca-2019`),可以使用 AWS Command Line Interface (AWS CLI)进行修改。在 2024 年 1 月 26 日之前创建的任何托管数据库都会使用这些 `rds-ca-2019` 证书,直到您将它们更新为 `rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1` 和 `rds-ca-ecc384-g1` 证书。
**注意**
在生产环境中使用本指南中的步骤之前,请先在开发或测试环境中进行测试。
## 先决条件
+ 在完成此过程中的步骤之前,请更新您的数据库客户端应用程序以使用新 SSL/TLS 证书。
更新应用程序以获取新 SSL/TLS 证书的方法取决于您的特定应用程序。*与您的应用程序开发人员合作更新SSL/TLS certificates for your applications. To learn more about updating applications for new SSL/TLS证书,请参阅《Amazon Relati [onal Database Service 用户指南》中的更新应用程序以使用新的 SSL/TLS 证书](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-mysql.html)[连接到 MySQL 数据库实例或更新应用程序以使用新证书连接到 PostgreSQL SSL/TLS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html)。*
+ 在本指南中,您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳,您可以直接从 Lightsail 控制台启动它。使用 CloudShell,您可以使用首选外壳运行 AWS Command Line Interface (AWS CLI) 命令,例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具,即可完成此操作。有关如何设置和使用的 CloudShell更多信息,请参阅 [Lightsai AWS CloudShell l 中的](amazon-lightsail-cloudshell.md)。
## 识别托管数据库的有效 CA 证书
完成以下步骤以识别您的 Lightsail 数据库实例的有效 CA 证书。
1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。
1. 输入以下命令以识别托管数据库的有效 CA 证书。
```
aws lightsail get-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} | grep "caCertificateIdentifier"
```
在命令中,{{DatabaseName}}替换为要修改的数据库的{{DatabaseRegion}}名称以及数据库实例所在 AWS 区域 的名称。
**示例**
```
aws lightsail get-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} | grep "caCertificateIdentifier"
```
该命令将返回您数据库的有效 CA 证书的 ID。
**示例**
```
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
```
## 修改托管式数据库以使用新 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用其中一个新的 CA 证书(`rds-ca-rsa2048-g1``rds-ca-rsa4096-g1`、和`rds-ca-ecc384-g1`)。
**重要**
在更新数据库上的 CA 证书之前,请先更新使用 CA 证书的所有客户端应用程序。
1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。
1. 输入以下命令以在托管数据库上使用新证书。
```
aws lightsail update-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} --ca-certificate-identifier rds-ca-rsa2048-g1
```
在命令中,{{DatabaseName}}替换为要修改的数据库的{{DatabaseRegion}}名称以及数据库实例所在 AWS 区域 的名称。
**示例**
```
aws lightsail update-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} --ca-certificate-identifier rds-ca-rsa2048-g1
```
托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加 `--apply-immediately` 参数,则会立即更新。
## 修改托管式数据库以使用旧 CA 证书
完成以下步骤,在 Lightsail 中修改您的托管数据库,使其使用旧的 CA 证书 () `rds-ca-2019`。仅在使用新证书(`rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1` 和 `rds-ca-ecc384-g1`)时遇到严重问题并需要暂时恢复旧证书时执行此操作。
**重要**
在更新数据库上的 CA 证书之前,请先更新使用 CA 证书的所有客户端应用程序。
1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。
1. 输入以下命令以在托管式数据库上使用 `rds-ca-2019`。
```
aws lightsail update-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} --ca-certificate-identifier rds-ca-2019
```
在命令中,{{DatabaseName}}替换为要修改的数据库的{{DatabaseRegion}}名称以及数据库实例所在 AWS 区域 的名称。
**示例**
```
aws lightsail update-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} --ca-certificate-identifier rds-ca-2019
```
托管数据库使用的 CA 证书将在数据库的下一个维护时段内更新,或者如果您在命令末尾添加 `--apply-immediately` 参数,则会立即更新。