AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
我該如何更新 Amazon RDS 與 Aurora 資料庫的 SSL/TLS 憑證,以建立安全連線?
我想要更新 Amazon Relational Database Service (Amazon RDS) 與 Amazon Aurora 資料庫的 SSL/TLS 憑證,以加密連線之間的通訊。
解決方法
確定目前的 SSL/TLS 憑證
請完成下列步驟:
- 開啟 Amazon RDS console (Amazon RDS 主控台)。
- 在導覽窗格中,選擇 Databases (資料庫),然後選取您的 Amazon RDS 或 Aurora 資料庫。
- 在 Connectivity & security (連線與安全性) 下,檢查 Security (安全性) 區段,以查看資料庫使用的憑證認證機構 (CA)。
**注意:**有關可與 Amazon RDS 和 Aurora 資料庫一起使用的 CA 清單,請參閱憑證授權。
更新 SSL/TLS 憑證
請完成下列步驟:
- 開啟 Amazon RDS console (Amazon RDS 主控台)。
- 在導覽窗格中,選擇 Databases (資料庫),然後選取您的 Amazon RDS 或 Aurora 資料庫。
- 選擇 Modify (修改)。
- 在 Connectivity (連線) 下,選擇 Certificate authority (憑證授權)。
- 在 Certificate authority (憑證授權) 下,選擇 Continue (繼續),然後檢閱修改內容。
- 對於支援無需重新啟動即可輪換憑證的資料庫引擎,選擇 Apply immediately (立即套用)。
**注意:**如果未選擇 Apply immediately (立即套用),變更將在下一個維護時段生效。
對於需要重新啟動的資料庫引擎,在 Scheduling of modifications (修改排程) 下,選擇 Apply during the next scheduled maintenance window (於下次排程維護時段套用)。 - 選擇 Modify DB instance (修改資料庫執行個體)。
強制執行 SSL/TLS 連線
若要強制 Amazon RDS 與 Aurora MySQL 相容版使用 SSL/TLS 連線,請完成以下步驟:
- 為您的資料庫執行個體建立自訂參數群組或使用現有參數群組。
或 者,為您的資料庫叢集建立自訂叢集參數群組或使用現有叢集參數群組。 - 在自訂參數群組中,將 require_secure_transport 參數設為 ON。此參數為動態設定,無需重新啟動即可立即生效。
啟用 require_secure_transport 參數後,建立與資料庫執行個體或叢集的連線時,必須使用 CA。如需更多資訊,請參閱下載 Amazon RDS 憑證套件。
有關如何更新應用程式以使用 SSL/TLS 憑證的資訊,請參閱以下 AWS 文件:
- 更新應用程式,以使用新 SSL/TLS 憑證連線至 MySQL 資料庫執行個體
- 更新應用程式,以使用新 SSL/TLS 憑證連線至 MariaDB 執行個體
- 更新應用程式,以使用新 SSL/TLS 憑證連線至 PostgreSQL 資料庫執行個體
- 更新應用程式,以使用新 SSL/TLS 憑證連線至 Microsoft SQL Server 執行個體
- 更新應用程式,以使用新 SSL/TLS 憑證連線至 Oracle 資料庫執行個體
注意:當您使用偏好 SSL 模式,而 CA 不存在或未更新時,連線將以未加密方式建立。使用偏好模式並非最佳實務。
如果無法建立加密連線,可能會出現以下錯誤訊息:
「MySQL Error 3159 (HY000): Connections using insecure transport are prohibited while —require_secure_transport=ON.」
若要解決此問題,請執行以下命令:
mysql -h yourEndpoint -P 3306 -u yourUserName -pYourPassword --ssl-ca=full_path_to_CA_certificate
**注意:**將範例值替換為您的值。
更新應用程式信任存放區
在資料庫執行個體輪換憑證後,必須使用新的 CA 更新信任存放區。
**注意:**更新信任存放區的步驟會因憑證而異。
在 Amazon RDS 主控台上,SSL/TLS 憑證包含憑證授權日期與資料庫執行個體憑證到期日。憑證授權日期是根 CA 的到期日。資料庫執行個體憑證到期日是執行個體上憑證的到期日。RDS 會自動處理資料庫伺服器憑證的輪。,並使用相同的根 CA 進行輪換。您無需下載新的 CA 套件。
相關資訊
相關內容
- 已提問 1 年前
