本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 更新Lightsail資料庫的 CA 憑證版本
<a name="amazon-lightsail-modifying-database-to-use-a-specific-certificate"></a>

Amazon Lightsail 已發佈新的憑證授權機構 (CA) 憑證，以便使用 SSL/TLS 連線至受管資料庫。本指南說明如何升級至新的 CA 憑證。您只能使用 [https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_UpdateRelationalDatabase.html](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_UpdateRelationalDatabase.html) API 動作升級憑證。新憑證稱為 `rds-ca-rsa2048-g1`、 `rds-ca-rsa4096-g1`和 `rds-ca-ecc384-g1`。舊憑證稱為 `rds-ca-2019`。我們提供 CA 憑證做為 AWS 安全最佳實務。如需受管資料庫的 CA 憑證和支援的 的相關資訊 AWS 區域，請參閱[下載受管資料庫的 SSL 憑證](amazon-lightsail-download-ssl-certificate-for-managed-database.md)。

舊的 CA 憑證 (`rds-ca-2019`) 將於 2024 年 8 月 22 日過期。因此，我們強烈建議您盡快完成本指南中的步驟，以將受管資料庫修改為使用新憑證。如果您的應用程式未使用 SSL/TLS 連線至受Lightsail管資料庫，則不需要採取任何動作。如果這些步驟未完成，您的應用程式將無法在 2024 年 8 月 22 日之後使用 SSL/TLS 連線至您的受管資料庫。

在 2024 年 1 月 26 日之後建立的新受管資料庫預設會使用`rds-ca-rsa2048-g1`憑證。如果您想要暫時修改新的受管資料庫以使用舊憑證 (`rds-ca-2019`)，您可以使用 AWS Command Line Interface () 來執行此操作AWS CLI。在 2024 年 1 月 26 日之前建立的任何受管資料庫都會使用`rds-ca-2019`憑證，直到您將其更新為 `rds-ca-rsa2048-g1`、 `rds-ca-rsa4096-g1`和 `rds-ca-ecc384-g1`憑證為止。



**注意**  
在實際執行環境中使用這些步驟之前，請先在開發或預備環境中測試本指南中的步驟。

## 先決條件
<a name="modifying-database-prerequisites"></a>
+ 在完成此程序中的步驟之前，更新您的資料庫用戶端應用程式以使用新的 SSL/TLS 憑證。

  更新應用程式 SSL/TLS 憑證的方法取決於您特定的應用程式。與應用程式開發人員合作更新應用程式的 SSL/TLS 憑證。若要進一步了解如何更新應用程式以使用新的 SSL/TLS 憑證，請參閱《Amazon Relational Database Service 使用者指南》**中的[更新應用程式以使用新的 SSL/TLS 憑證來連接至 MySQL 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-mysql.html)或[更新應用程式以使用新的 SSL/TLS 憑證來連接至 PostgreSQL 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html)。
+ 在本指南中，您將使用 AWS CloudShell 來執行升級。CloudShell 是一種以瀏覽器為基礎的預先驗證 Shell，您可以直接從Lightsail主控台啟動。使用 CloudShell，您可以使用您偏好的 shell 執行 AWS Command Line Interface (AWS CLI) 命令，例如 Bash、PowerShell 或 Z shell。無需下載或安裝命令列工具即可執行此操作。如需如何設定和使用 CloudShell 的詳細資訊，請參閱 [AWS CloudShell 中的 Lightsail](amazon-lightsail-cloudshell.md)。

## 識別受管資料庫的作用中 CA 憑證
<a name="checking-database-certificate-version"></a>

請完成下列步驟，以識別Lightsail資料庫執行個體的作用中 CA 憑證。

1. 開啟終端機[AWS CloudShell](amazon-lightsail-cloudshell.md)、 或命令提示字元視窗。

1. 輸入下列命令來識別受管資料庫的作用中 CA 憑證。

   ```
   aws lightsail get-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} | grep "caCertificateIdentifier"
   ```

   在 命令中，將 {{DatabaseName}} 取代為您要修改的資料庫名稱，並將 {{DatabaseRegion}} 取代為 AWS 區域 資料庫執行個體所在的 。

   **範例**

   ```
   aws lightsail get-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} | grep "caCertificateIdentifier"
   ```

   命令會傳回資料庫的作用中 CA 憑證 ID。

   **範例**

   ```
   "caCertificateIdentifier": "rds-ca-rsa2048-g1"
   ```

## 修改受管資料庫以使用新 CA 憑證
<a name="modifying-database-new-certificate"></a>

請完成下列步驟，在 中修改您的受管資料庫Lightsail，以使用其中一個新的 CA 憑證 (`rds-ca-rsa2048-g1`、 `rds-ca-rsa4096-g1`和 `rds-ca-ecc384-g1`)。

**重要**  
在您更新資料庫上的 CA 憑證之前，請先更新任何使用 CA 憑證的用戶端應用程式。

1. 開啟終端機[AWS CloudShell](amazon-lightsail-cloudshell.md)、 或命令提示字元視窗。

1. 輸入下列命令以在受管資料庫上使用新憑證。

   ```
   aws lightsail update-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} --ca-certificate-identifier rds-ca-rsa2048-g1
   ```

   在 命令中，將 {{DatabaseName}} 取代為您要修改的資料庫名稱，並將 {{DatabaseRegion}} 取代為 AWS 區域 資料庫執行個體所在的 。

   **範例**

   ```
   aws lightsail update-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} --ca-certificate-identifier rds-ca-rsa2048-g1
   ```

   受管資料庫使用的 CA 憑證將在資料庫的下一個維護時段更新，或者如果您將 `--apply-immediately` 參數新增至命令結尾，則會立即更新。

## 修改受管資料庫以使用舊 CA 憑證
<a name="modifying-database-old-certificate"></a>

完成下列步驟，將 Lightsail 中的受管資料庫修改為使用舊的憑證授權機構憑證 (`rds-ca-2019`)。只有在其中一個新憑證 (`rds-ca-rsa2048-g1`、 和 `rds-ca-ecc384-g1`) 遇到重大問題`rds-ca-rsa4096-g1`，且需要暫時還原舊憑證時，才執行此操作。

**重要**  
在您更新資料庫上的 CA 憑證之前，請先更新任何使用 CA 憑證的用戶端應用程式。

1. 開啟終端機[AWS CloudShell](amazon-lightsail-cloudshell.md)、 或命令提示字元視窗。

1. 輸入下列命令，以在您的受管資料庫上使用 `rds-ca-2019`。

   ```
   aws lightsail update-relational-database --relational-database-name {{DatabaseName}} --region {{DatabaseRegion}} --ca-certificate-identifier rds-ca-2019
   ```

   在 命令中，將 {{DatabaseName}} 取代為您要修改的資料庫名稱，並將 {{DatabaseRegion}} 取代為 AWS 區域 資料庫執行個體所在的 。

   **範例**

   ```
   aws lightsail update-relational-database --relational-database-name {{Database-1}} --region {{us-east-1}} --ca-certificate-identifier rds-ca-2019
   ```

   受管資料庫使用的 CA 憑證將在資料庫的下一個維護時段更新，或者如果您將 `--apply-immediately` 參數新增至命令結尾，則會立即更新。