- 更新 Amazon DocumentDB TLS 证书
- 更新您的应用程序和 Amazon DocumentDB 集群
- Troubleshooting
- 常见问题
- 如果我有疑问或问题,应该怎么办?
- 如何知道我是否使用 TLS 连接到我的 Amazon DocumentDB 集群?
- 您为什么更新 CA 和服务器证书?
- 如果我在 2020 年 3 月 5 日之前未采取任何行动,会发生什么情况?
- 如何知道我的哪些 Amazon DocumentDB 实例在使用旧/新的服务器证书?
- 如何修改 Amazon DocumentDB 集群中的单个实例以更新服务器证书?
- 如果我向现有集群中添加新的实例,会怎么样?
- 如果我的集群发生实例替换或故障转移,会怎么样?
- 如果我未使用 TLS 连接到集群,我是否仍需要更新我的每个实例?
- 如果我目前没有使用 TLS 连接到集群,但计划将来这样做,该怎么办?
- 截止日期是否可以扩展到 2020 年 3 月 5 日之后?
- 我如何确定我使用的是最新的 CA 捆绑包?
- 为什么我在 CA 捆绑包的名称中看到“RDS”?
- 新的证书何时到期?
- 如果我应用了新的服务器证书,我可以恢复为使用旧的服务器证书吗?
- 如果我从快照还原或执行时间点还原,它会有新的服务器证书吗?
- 如果我在从 Mac OS X Catalina 直接连接到我的 Amazon DocumentDB 集群时遇到问题,该怎么办?
更新 Amazon DocumentDB TLS 证书
Amazon DocumentDB(与 MongoDB 兼容) 集群的证书颁发机构 (CA) 证书已于 2020 年 3 月 5 日更新. 如果您使用 Amazon DocumentDB 集群时启用了传输层安全 (TLS)(默认设置),而且您没有轮换您的客户端应用程序和服务器证书,则需要执行以下步骤以避免您的应用程序与 Amazon DocumentDB 集群之间发生连接性问题。
作为 的标准维护和安全最佳实践的一部分, CA 和服务器证书已更新。Amazon DocumentDB. 之前的 CA 证书已于 2020 年 3 月 5 日过期。客户端应用程序必须将新的 CA 证书添加到其信任存储中,且现有 Amazon DocumentDB 实例必须更新为在此到期日期之前使用新的 CA 证书。
更新您的应用程序和 Amazon DocumentDB 集群
按照此部分中的步骤更新应用程序的 CA 证书捆绑包(步骤 1),以及您集群的服务器证书(步骤 2). 在将变更应用于生产环境之前,我们强烈建议您在开发环境或登台环境中测试这些步骤。
注意
必须在您拥有 Amazon DocumentDB 集群的每个 AWS 区域中,完成步骤 1 和步骤 2。
步骤 1:下载新的 CA 证书并更新您的应用程序
下载新的 CA 证书并更新您的应用程序,以使用新的 CA 证书创建与 的 TLS 连接。Amazon DocumentDB. 从 下载新的 CA 证书捆绑包。https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem. 此操作将下载名为 的文件。rds-combined-ca-bundle.pem
.
注意
如果您要访问包含旧 CA 证书 (rds-ca-2015-root.pem
) 和新 CA 证书 (rds-ca-2019-root.pem
) 的密钥库,请验证密钥库是否选择了 CA-2019
.
wget https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem
接下来,更新应用程序以使用新的证书捆绑包。新的 CA 捆绑包中包含旧的 CA 证书 (rds-ca-2015-root.pem
) 以及新的 CA 证书 (rds-ca-2019-root.pem
). 通过在新的 CA 捆绑包中同时具有 CA 证书,您可以通过两个步骤更新应用程序和集群。
在 2019 年 9 月 1 日之后,任何下载 CA 证书捆绑包的操作都应使用新的 CA 证书捆绑包。要验证您的应用程序使用的是否是最新的 CA 证书捆绑包,请参阅我如何确定我使用的是最新的 CA 捆绑包?。如果您已在应用程序中使用最新的 CA 证书捆绑包,则可跳至步骤 2。
有关将 CA 捆绑与您的应用程序结合使用的示例,请参阅 加密传输中的数据 和 启用了 TLS 的情况下的连接.
注意
目前,MongoDB Go 驱动程序 1.2.1 仅接受 sslcertificateauthorityfile
中的一个 CA 服务器证书。有关如何在启用 TLS 时使用 Go 连接到 Amazon DocumentDB,请参阅启用了 TLS 的情况下的连接
步骤 2:更新服务器证书
在更新应用程序以使用新的 CA 捆绑包后,下一步是通过修改 Amazon DocumentDB 集群中每个实例来更新服务器证书。要修改实例以使用新的服务器证书,请参阅以下说明。
注意
更新您的实例需要重新启动,这可能会导致服务中断。在更新服务器证书之前,请确保您已完成步骤 1.
完成以下步骤,以使用 Amazon DocumentDB 为现有 AWS 管理控制台. 实例标识和轮换旧服务器证书。
通过以下网址登录 AWS 管理控制台并打开 Amazon DocumentDB 控制台:https://console.aws.amazon.com/docdb。
在屏幕右上角的区域列表中,选择集群所在的 AWS 区域。
在控制台左侧的导航窗格中,选择 Clusters (集群)。
您可能需要确定哪些实例仍在使用旧的服务器证书 (
rds-ca-2015
)。您可以在默认隐藏的 Certificate authority (证书颁发机构) 列中执行此操作。要显示 Certificate authority (证书颁发机构) 列,请执行以下操作:选择 Settings (设置) 图标。
在可见列列表下,选择 Certificate authority (证书颁发机构) 列。
选择 Confirm (确认) 以保存您的更改。
现在,回到“Clusters (集群)”导航窗格中,您将看到列 Cluster Identifier (集群标识符)。您的实例将在集群下列出,与以下屏幕截图类似。
选中您感兴趣的实例左侧的框。
选择 Actions (操作),然后选择 Modify (修改).
在 Certificate authority (证书颁发机构) 下,为此实例选择新的服务器证书 (
rds-ca-2019
)。在下一页上可以看到所做更改的摘要。请注意,有一个额外的提醒,旨在提醒您在修改实例之前,确保应用程序使用的是最新的证书 CA 捆绑包,以避免导致连接中断。
可以选择在下一个维护时段内应用修改,也可以立即应用。如果您打算立即修改服务器证书,请使用 Apply Immediately (立即应用) 选项。
选择 Modify instance (修改实例) 以完成更新。
完成以下步骤,以使用 Amazon DocumentDB 为现有 AWS CLI. 实例标识和轮换旧服务器证书。
要立即修改实例,请对集群中的每个实例执行以下命令。
aws docdb modify-db-instance --db-instance-identifier
<yourInstanceIdentifier>
--ca-certificate-identifier rds-ca-2019 --apply-immediately
要修改集群中的实例,以便在集群的下一个维护时段中使用新的 CA 证书,请对集群中的每个实例执行以下命令。
aws docdb modify-db-instance --db-instance-identifier
<yourInstanceIdentifier>
--ca-certificate-identifier rds-ca-2019 --no-apply-immediately
Troubleshooting
如果您在证书轮换过程中遇到集群连接问题,我们建议您执行以下操作:
重启您的实例。 轮换新证书需要您重新启动每个实例。如果您将新证书应用于一个或多个实例,但未重新启动它们,请重新启动您的实例以应用新证书。有关更多信息,请参阅 重启 Amazon DocumentDB实例.
验证您的客户端是否使用最新的证书捆绑包。 请参阅我如何确定我使用的是最新的 CA 捆绑包?.
验证您的实例是否使用最新的证书。 请参阅如何知道我的哪些 Amazon DocumentDB 实例在使用旧/新的服务器证书?.
验证您的应用程序是否在使用最新证书 CA。 某些驱动程序(如 Java 和 Go)需要额外的代码,才能将多个证书从证书捆绑包导入到信任存储中。有关使用 TLS 连接到 Amazon DocumentDB 的更多信息,请参阅 通过编程方式连接到 Amazon DocumentDB.
请联系客户支持人员。 如果您有任何疑问或疑问,请联系 AWS Support。
常见问题
以下是有关 TLS 证书的一些常见问题的解答。
如果我有疑问或问题,应该怎么办?
如果您有任何疑问或疑问,请联系 AWS Support。
如何知道我是否使用 TLS 连接到我的 Amazon DocumentDB 集群?
您可以通过检查集群集群的集群参数组的 tls
参数来确定您的集群是否正在使用 TLS。如果 tls
参数设置为 enabled
,则表示您正在使用 TLS 证书连接到集群。有关更多信息,请参阅 管理 Amazon DocumentDB 集群参数组.
您为什么更新 CA 和服务器证书?
作为 Amazon DocumentDB 的标准维护和安全最佳实践的一部分,Amazon DocumentDB. CA 和服务器证书已更新。当前 CA 和服务器证书将于 2020 年 3 月 5 日(星期四)过期。
如果我在 2020 年 3 月 5 日之前未采取任何行动,会发生什么情况?
如果您使用 TLS 连接到 Amazon DocumentDB 集群,并且在 2020 年 3 月 5 日之前未进行更改,则通过 TLS 进行连接的应用程序将无法再与 Amazon DocumentDB 集群进行通信。
Amazon DocumentDB 将不会在 2020 年 3 月 5 日之前自动轮换您的数据库证书。您必须在 2020 年 3 月 5 日之前或之后更新应用程序和集群以使用新的 CA 证书。
如何知道我的哪些 Amazon DocumentDB 实例在使用旧/新的服务器证书?
要标识仍使用旧服务器证书的 Amazon DocumentDB 实例,您可以使用 Amazon DocumentDB AWS 管理控制台 或 AWS CLI。
确定集群中正在使用旧证书的实例
通过以下网址登录 AWS 管理控制台并打开 Amazon DocumentDB 控制台:https://console.aws.amazon.com/docdb。
在屏幕右上角的区域列表中,选择实例所在的 AWS 区域。
在控制台左侧的导航窗格中,选择 Instances (实例).
Certificate authority (证书颁发机构) 列(默认情况下处于隐藏状态)显示哪些实例仍在使用旧的服务器证书 (),哪些实例正在使用新的服务器证书 (
rds-ca-2015
)。rds-ca-2019
要显示 Certificate authority (证书颁发机构) 列,请执行以下操作:选择 Settings (设置) 图标。
在可见列列表下,选择 Certificate authority (证书颁发机构) 列。
选择 Confirm (确认) 以保存您的更改。
要标识集群中正在使用旧服务器证书的实例,请将 describe-db-clusters
命令与以下 结合使用。
aws docdb describe-db-instances \
--filters Name=engine,Values=docdb \
--query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
如何修改 Amazon DocumentDB 集群中的单个实例以更新服务器证书?
我们建议您同时更新给定集群中所有实例的服务器证书。要修改集群中的实例,您可以使用控制台或 AWS CLI。
注意
更新您的实例需要重新启动,这可能会导致服务中断。在更新服务器证书之前,请确保您已完成步骤 1.
通过以下网址登录 AWS 管理控制台并打开 Amazon DocumentDB 控制台:https://console.aws.amazon.com/docdb。
在屏幕右上角的区域列表中,选择集群所在的 AWS 区域。
在控制台左侧的导航窗格中,选择 Instances (实例).
Certificate authority (证书颁发机构) 列(默认情况下处于隐藏状态)会显示哪些实例仍在使用旧的服务器证书 (
rds-ca-2015
). 要显示 Certificate authority (证书颁发机构) 列,请执行以下操作:选择 Settings (设置) 图标。
在可见列列表下,选择 Certificate authority (证书颁发机构) 列。
选择 Confirm (确认) 以保存您的更改。
选择要修改的实例。
选择 Actions (操作),然后选择 Modify (修改).
在 Certificate authority (证书颁发机构) 下,为此实例选择新的服务器证书 (
rds-ca-2019
)。在下一页上可以看到所做更改的摘要。请注意,有一个额外的提醒,旨在提醒您在修改实例之前,确保应用程序使用的是最新的证书 CA 捆绑包,以避免导致连接中断。
可以选择在下一个维护时段内应用修改,也可以立即应用。
选择 Modify instance (修改实例) 以完成更新。
完成以下步骤,以使用 Amazon DocumentDB 为现有 AWS CLI. 实例标识和轮换旧服务器证书。
要立即修改实例,请对集群中的每个实例执行以下命令。
aws docdb modify-db-instance --db-instance-identifier
<yourInstanceIdentifier>
--ca-certificate-identifier rds-ca-2019 --apply-immediately
要修改集群中的实例,以便在集群的下一个维护时段中使用新的 CA 证书,请对集群中的每个实例执行以下命令。
aws docdb modify-db-instance --db-instance-identifier
<yourInstanceIdentifier>
--ca-certificate-identifier rds-ca-2019 --no-apply-immediately
如果我向现有集群中添加新的实例,会怎么样?
创建的所有新实例都使用旧的服务器证书,并且需要使用旧的 CA 证书进行 TLS 连接。2020 年 1 月 14 日之后创建的任何新 Amazon DocumentDB 实例将默认使用新证书。
如果我的集群发生实例替换或故障转移,会怎么样?
如果集群中存在实例替换,则创建的新实例继续使用该实例以前使用的相同服务器证书。我们建议您同时更新所有实例的服务器证书。如果集群中发生故障转移,则使用新主集群上的服务器证书。
如果我未使用 TLS 连接到集群,我是否仍需要更新我的每个实例?
如果您未使用 TLS 连接到 Amazon DocumentDB 集群,则不需要执行操作。
如果我目前没有使用 TLS 连接到集群,但计划将来这样做,该怎么办?
如果您在 2019 年 11 月 1 日之前创建了集群,请按照上一节中的步骤 1 和步骤 2 操作,以确保您的应用程序使用的是更新后的 CA 捆绑包,并且每个 Amazon DocumentDB 实例使用的是最新的服务器证书。如果您在 2020 年 1 月 14 日之后创建集群,则您的集群将已经具有最新的服务器证书。要验证您的应用程序使用的是否是最新的 CA 捆绑包,请参阅如果我未使用 TLS 连接到集群,我是否仍需要更新我的每个实例?
截止日期是否可以扩展到 2020 年 3 月 5 日之后?
如果您的应用程序通过 TLS 连接,则截止期限不能扩展到 2020 年 3 月 5 日之后。
我如何确定我使用的是最新的 CA 捆绑包?
出于兼容性原因,旧的和新的 CA 捆绑包文件的文件名都为 rds-combined-ca-bundle.pem
. 您可以使用 CA 捆绑包的大小和哈希来确定 CA 捆绑包是否为最新的。您还可以使用 openssl
或 keytool
等工具来检查 CA 捆绑包。旧的 CA 捆绑包文件的大小为 26016 字节,SHA1 哈希为 4cd5ba9e145006b17c400d5c778e1965b50172aa
。
要验证您是否拥有最新的捆绑包,请使用以下命令。
命令:
ls -l rds-combined-ca-bundle.pem
输出:
-rw-r--r-- 1 user users 65484 Sep 25 14:49 rds-combined-ca-bundle.pem
命令:
shasum rds-combined-ca-bundle.pem
输出:
e12be0c71b499540ac6fe0c36a5050231616c9c4 rds-combined-ca-bundle.pem
命令:
ls -l rds-combined-ca-bundle.pem
输出:
-rw-rw-r-- 1 ec2-user ec2-user 65484 Sep 25 20:52 rds-combined-ca-bundle.pem
命令:
sha1sum rds-combined-ca-bundle.pem
输出:
e12be0c71b499540ac6fe0c36a5050231616c9c4 rds-combined-ca-bundle.pem
命令:
dir rds-combined-ca-bundle.pem
输出:
09/25/2019 02:53 PM 65,484 rds-combined-ca-bundle.pem
命令:
certutil -hashfile rds-combined-ca-bundle.pem
输出:
SHA1 hash of rds-combined-ca-bundle.pem:
e12be0c71b499540ac6fe0c36a5050231616c9c4
为什么我在 CA 捆绑包的名称中看到“RDS”?
对于某些管理功能(例如证书管理),Amazon DocumentDB 使用与 Amazon Relational Database Service (Amazon RDS) 共享的操作技术。
新的证书何时到期?
新的服务器证书将在 2024 年 8 月 22 日到期。
如果我应用了新的服务器证书,我可以恢复为使用旧的服务器证书吗?
如果您需要将实例恢复为使用旧的服务器证书,建议您对集群中的所有实例都执行此操作。您可以通过使用 AWS 管理控制台 或 AWS CLI. 来还原集群中每个实例的服务器证书。
通过以下网址登录 AWS 管理控制台并打开 Amazon DocumentDB 控制台:https://console.aws.amazon.com/docdb。
在屏幕右上角的区域列表中,选择集群所在的 AWS 区域。
在控制台左侧的导航窗格中,选择 Instances (实例).
选择要修改的实例。选择 Actions (操作),然后选择 Modify (修改).
在 Certificate authority (证书颁发机构) 下,您可以选择旧的服务器证书 (
rds-ca-2015
).选择 Continue (继续) 以查看修改摘要。
在显示的页面中,您可以选择安排在下一个维护时段中应用修改,或立即应用修改。进行选择,然后选择 Modify instance (修改实例)。
注意
如果您选择立即应用修改,则该操作也将同时应用等待修改队列中的所有更改。如果任何待处理修改需要停机,选择此选项可能会导致意外停机。
aws docdb modify-db-instance --db-instance-identifier
<db_instance_name>
ca-certificate-identifier rds-ca-2015<--apply-immediately | --no-apply-immediately>
如果您选择 --no-apply-immediately
,更改将在集群的下一个维护时段内应用。
如果我从快照还原或执行时间点还原,它会有新的服务器证书吗?
如果在 2020 年 1 月 14 日之后还原快照或执行时间点还原,则创建的新集群将使用新 CA 证书。
如果我在从 Mac OS X Catalina 直接连接到我的 Amazon DocumentDB 集群时遇到问题,该怎么办?
Mac OS X Catalina 已更新对可信证书的要求。可信证书现在必须有效期不超过 825 天(请参阅 https://support.apple.com/en-us/HT210176)。Amazon DocumentDB 实例证书的有效期是四年以上,已超过 Mac OS X 最大值。要从运行 Mac OS X Catalina 的计算机直接连接到 Amazon DocumentDB 集群,您必须在创建 TLS 连接时允许使用无效证书。在这种情况下,无效证书是指其有效期超过 825 天。在连接到 Amazon DocumentDB 集群时,您应在允许使用无效证书之前了解风险。
要使用 Amazon DocumentDB 从 OS X Catalina 连接到 AWS CLI 集群,请使用 tlsAllowInvalidCertificates
参数。
mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates