本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 更新應用程式，以使用新的 SSL/TLS 憑證連線至 MariaDB 執行個體
<a name="ssl-certificate-rotation-mariadb"></a>

自 2023 年 1 月 13 日起，Amazon RDS 已發佈新的憑證認證機構 (CA) 憑證，使用 Secure Socket Layer 或 Transport Layer Security (SSL/TLS) 來連線至 RDS 資料庫執行個體。接下來，您可以找到更新應用程式使用新憑證的相關資訊。

本主題可協助您決定應用程式是否需要驗證憑證，才能連線至您的資料庫執行個體。

**注意**  
有些應用程式設定為只有在成功驗證伺服器上的憑證時，才能連線至 MariaDB。對於這些應用程式，您必須更新用戶端應用程式信任存放區來包含新的 CA 憑證。  
您可以指定下列 SSL 模式：`disabled`、`preferred` 及 `required`。當您使用 `preferred` SSL 模式且 CA 憑證不存在或不是最新版本時，連線會回復為未使用 SSL，並且仍然成功連線。  
我們建議您避免使用 `preferred` 模式。在 `preferred` 模式中，如果連線遇到無效憑證，則會停止使用加密並繼續使用未加密連線。

更新用戶端應用程式信任存放區中的 CA 憑證之後，您就可以在資料庫執行個體輪換憑證。強烈建議先在開發或預備環境中測試這些步驟，再於生產環境中實作。

如需憑證輪換的詳細資訊，請參閱[輪換您的 SSL/TLS 憑證](UsingWithRDS.SSL-certificate-rotation.md)。如需下載憑證的詳細資訊，請參閱[使用 SSL/TLS 加密與資料庫執行個體或叢集的連線](UsingWithRDS.SSL.md)。如需對 MariaDB 資料庫執行個體使用 SSL/TLS 的資訊，請參閱[Amazon RDS 支援在 MariaDB 資料庫執行個體上啟用 SSL/TLS 加密。](MariaDB.Concepts.SSLSupport.md)。

**Topics**
+ [判斷用戶端是否需要驗證憑證才能連線](#ssl-certificate-rotation-mariadb.determining)
+ [更新應用程式信任存放區](#ssl-certificate-rotation-mariadb.updating-trust-store)
+ [建立 SSL 連線的 Java 程式碼範例](#ssl-certificate-rotation-mariadb.java-example)

## 判斷用戶端是否需要驗證憑證才能連線
<a name="ssl-certificate-rotation-mariadb.determining"></a>

您可以檢查 JDBC 用戶端和 MySQL 用戶端是否需要驗證憑證才能連線。

### JDBC
<a name="ssl-certificate-rotation-mysql.determining-client.jdbc"></a>

以下 MySQL Connector/J 8.0 範例指出一種方式來檢查應用程式的 JDBC 連線屬性，以判斷是否需要有效憑證才能成功連線。如需 MySQL 的所有 JDBC 連線選項的詳細資訊，請參閱 MySQL 文件中的[組態屬性](https://dev.mysql.com/doc/connector-j/en/connector-j-reference-configuration-properties.html)。

使用 MySQL Connector/J 8.0 時，如果連線屬性的 `sslMode` 設為 `VERIFY_CA` 或 `VERIFY_IDENTITY`，則需要以伺服器 CA 憑證來驗證 SSL 連線，如下列範例所示。

```
Properties properties = new Properties();
properties.setProperty("sslMode", "VERIFY_IDENTITY");
properties.put("user", DB_USER);
properties.put("password", DB_PASSWORD);
```

**注意**  
如果您使用 MySQL Java Connector v5.1.38 或更高版本，或 MySQL Java Connector v8.0.9 或更高版本來連線至您的資料庫，即使您尚未明確設定應用程式在連線到資料庫時使用 SSL/TLS，這些用戶端驅動程式會預設為使用 SSL/TLS。此外，使用 SSL/TLS 時，它們會執行部分憑證驗證，如果資料庫伺服器憑證已過期，則無法連線。  
指定此處所顯示提示以外的密碼，作為安全最佳實務。

### MySQL
<a name="ssl-certificate-rotation-mysql.determining-client.mysql"></a>

以下 MySQL 用戶端範例指出兩種方式來檢查指令碼的 MySQL 連線，以判斷是否需要有效憑證才能成功連線。如需 MySQL 用戶端所有連線選項的詳細資訊，請參閱 MySQL 文件中的[加密連線的用戶端組態](https://dev.mysql.com/doc/refman/en/using-encrypted-connections.html#using-encrypted-connections-client-side-configuration)。

使用 MySQL 5.7 或 MySQL 8.0 用戶端時，如果您將 `--ssl-mode` 選項指定為 `VERIFY_CA` 或 `VERIFY_IDENTITY`，則需要以伺服器 CA 憑證來驗證 SSL 連線，如下列範例所示。

```
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-mode=VERIFY_CA                
```

使用 MySQL 5.6 用戶端時，如果您指定 `--ssl-verify-server-cert` 選項，則需要以伺服器 CA 憑證來驗證 SSL 連線，如下列範例所示。

```
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-verify-server-cert            
```

## 更新應用程式信任存放區
<a name="ssl-certificate-rotation-mariadb.updating-trust-store"></a>

如需為 MySQL 應用程式更新信任存放區的資訊，請參閱 MariaDB 文件中的[搭配 MariaDB Connector/J 使用 TLS/SSL](https://mariadb.com/kb/en/library/using-tls-ssl-with-mariadb-java-connector/)。

如需下載根憑證的資訊，請參閱 [使用 SSL/TLS 加密與資料庫執行個體或叢集的連線](UsingWithRDS.SSL.md)。

如需匯入憑證的範例指令碼，請參閱 [將憑證匯入信任存放區的範例指令碼](UsingWithRDS.SSL-certificate-rotation.md#UsingWithRDS.SSL-certificate-rotation-sample-script)。

**注意**  
更新信任存放區時，除了新增憑證，您還可以保留舊憑證。

如果您在應用程式中使用 MariaDB Connector/J JDBC 驅動程式，請在應用程式中設定下列屬性。

```
System.setProperty("javax.net.ssl.trustStore", certs);
System.setProperty("javax.net.ssl.trustStorePassword", "password");
```

啟動應用程式時，設定下列屬性。

```
java -Djavax.net.ssl.trustStore=/path_to_truststore/MyTruststore.jks -Djavax.net.ssl.trustStorePassword=my_truststore_password com.companyName.MyApplication        
```

**注意**  
指定此處所顯示提示以外的密碼，作為安全最佳實務。

## 建立 SSL 連線的 Java 程式碼範例
<a name="ssl-certificate-rotation-mariadb.java-example"></a>

下列程式碼範例示範如何使用 JDBC 來設定 SSL 連線。

```
private static final String DB_USER = "admin";

        private static final String DB_USER = "user name";
        private static final String DB_PASSWORD = "password";
        // This key store has only the prod root ca.
        private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore";
        private static final String KEY_STORE_PASS = "keystore-password";
        
    public static void main(String[] args) throws Exception {
        Class.forName("org.mariadb.jdbc.Driver");

        System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH);
        System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS);

        Properties properties = new Properties();
        properties.put("user", DB_USER);
        properties.put("password", DB_PASSWORD);


        Connection connection = DriverManager.getConnection("jdbc:mysql://ssl-mariadb-public.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306?useSSL=true",properties);
        Statement stmt=connection.createStatement();

        ResultSet rs=stmt.executeQuery("SELECT 1 from dual");

        return;
    }
```

**重要**  
在確定了資料庫連線使用 SSL/TLS 並已更新應用程式信任存放區之後，您可以將資料庫更新為使用 rds-ca-rsa2048-g1 憑證。如需說明，請參閱[透過修改資料庫執行個體或叢集來更新憑證授權機構憑證](UsingWithRDS.SSL-certificate-rotation.md#UsingWithRDS.SSL-certificate-rotation-updating)中的步驟 3。  
指定此處所顯示提示以外的密碼，作為安全最佳實務。