Amazon Aurora
Aurora 用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

轮换 SSL/TLS 证书

注意

如果您的应用程序使用安全套接字层 (SSL) 和传输层安全性 (TLS) 连接到 RDS DB 实例,则在 2020 年 3 月 5 日之前必须执行以下步骤。 这样做意味着您可以避免应用程序与 RDS 数据库实例之间的连接中断。

自 2019 年 9 月 19 日起,Amazon RDS 发布了新的证书颁发机构 (CA) 证书,用于使用 SSL/TLS 连接到 RDS 数据库实例。我们提供这些新的 CA 证书作为 AWS 最佳安全实践。有关新证书和受支持的 AWS 区域的信息,请参阅使用 SSL/TLS 加密与数据库集群的连接

当前的 CA 证书于 2020 年 3 月 5 日到期。因此,我们强烈建议尽快完成此更改(不迟于 2020 年 2 月 5 日),避免在到期日中断。如果未完成更改,则在 2020 年 3 月 5 日之后,您的应用程序将不能使用 SSL/TLS 连接到 RDS 数据库实例。

建议您先在开发或测试环境中测试下面列出的步骤,然后再将这些步骤应用于生产环境。

更新数据库实例以使用新的 CA 证书之前,请确保更新连接到 RDS 数据库的客户端或应用程序。

2020 年 1 月 14 日之后创建的任何新 RDS 数据库实例默认使用新证书。如果要临时手动修改新的数据库实例以使用旧 (rds-ca-2015) 证书,您可以使用 AWS 管理控制台或 AWS CLI 执行该操作。2020 年 1 月 14 日之前创建的任何数据库实例使用 rds-ca-2015 证书,直到将其更新为 rds-ca-2019 证书。

注意

如果使用 Aurora Serverless ,则不需要轮换 SSL/TLS 证书。有关在 Aurora Serverless 中使用 TLS/SSL 的更多信息,请参阅将 TLS/SSL 与 Aurora Serverless 结合使用

更新 CA 证书

完成以下步骤以更新 CA 证书。

更新 CA 证书

  1. 使用 SSL/TLS 加密与数据库集群的连接 下载新的 SSL/TLS 证书。

  2. 更新数据库应用程序以使用新的 SSL/TLS 证书。

    更新应用程序以使用新 SSL/TLS 证书的方法取决于特定的应用程序。请与应用程序开发人员一起更新应用程序的 SSL/TLS 证书。

    注意

    证书捆绑包包含新旧 CA 证书,因此您可以安全地升级应用程序并在转换期间保持连接。

  3. 修改数据库实例,以便将 CA 从 rds-ca-2015 更改为 rds-ca-2019

    重要

    此操作会重新启动您的数据库实例。默认情况下,此操作安排在您的下个维护时段运行。或者,您也可以选择立即运行。

您可以使用 AWS 管理控制台 或 AWS CLI 为数据库实例将 CA 证书从 rds-ca-2015 更改为 rds-ca-2019

控制台

为数据库实例将 CA 从 rds-ca-2015 更改为 rds-ca-2019

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择 Databases (数据库),然后选择要修改的数据库实例。

  3. 选择 Modify

    
                                        修改数据库实例

    将显示 Modify DB Instance (修改数据库实例) 页面。

  4. Network & Security 部分,选择 rds-ca-2019

    
                                        选择 CA 证书
  5. 选择继续,查看修改摘要。

  6. 要立即应用更改,请选择立即应用。选择此选项会导致中断。

  7. 在确认页面上,检查您的更改。如果更改正确无误,请选择 Modify DB Instance 保存更改。

    重要

    安排此操作时,请确保已预先更新客户端信任存储。

    也可以选择 Back 编辑您的更改,或选择 Cancel 取消更改。

AWS CLI

若要使用 AWS CLI 为数据库实例将 CA 从 rds-ca-2015 更改为 rds-ca-2019,请调用 modify-db-instance 命令。指定数据库实例标识符和 --ca-certificate-identifier 选项。

重要

安排此操作时,请确保已预先更新客户端信任存储。

以下代码通过将 CA 证书设置为 rds-ca-2019 来修改 mydbinstance。将在下一维护时段使用 --no-apply-immediately 应用这些更改。使用 --apply-immediately 可立即应用更改。选择此选项会导致中断。

针对 Linux、OS X 或 Unix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --ca-certificate-identifier rds-ca-2019 \ --no-apply-immediately

对于 Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --ca-certificate-identifier rds-ca-2019 ^ --no-apply-immediately

恢复为更新前的 CA 证书

您可以使用 AWS 管理控制台 或 AWS CLI 为数据库实例恢复为之前的 CA 证书。

控制台

为数据库实例恢复为之前的 CA 证书

  1. 登录 AWS 管理控制台 并通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择 Databases (数据库),然后选择要修改的数据库实例。

  3. 选择 Modify

    
                                        修改数据库实例

    将显示 Modify DB Instance (修改数据库实例) 页面。

  4. Network & Security 部分,选择 rds-ca-2015

    
                                        选择 CA 证书
  5. 选择继续,查看修改摘要。

  6. 要立即应用更改,请选择立即应用。选择此选项会导致中断。

  7. 在确认页面上,检查您的更改。如果更改正确无误,请选择 Modify DB Instance 保存更改。

    重要

    安排此操作时,请确保已预先更新客户端信任存储。

    也可以选择 Back 编辑您的更改,或选择 Cancel 取消更改。

AWS CLI

若要为数据库实例恢复为之前的 CA 证书,请调用 modify-db-instance 命令。指定数据库实例标识符和 --ca-certificate-identifier 选项。

重要

安排此操作时,请确保已预先更新客户端信任存储。

以下代码通过将 CA 证书设置为 rds-ca-2015 来修改 mydbinstance。将在下一维护时段使用 --no-apply-immediately 应用这些更改。使用 --apply-immediately 可立即应用更改。选择此选项会导致中断。

针对 Linux、OS X 或 Unix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --ca-certificate-identifier rds-ca-2015 \ --no-apply-immediately

对于 Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --ca-certificate-identifier rds-ca-2015 ^ --no-apply-immediately