更新您的 Amazon DocumentDB TLS 证书：即将在 2024 年到期

作者：Raghu Rao 和 Cody Allen，于2024年3月28日发布于 Amazon DocumentDB， Intermediate (200)， Technical Howto永久链接评论 分享

关键要点

SSL/TLS 证书将在 2024 年到期，您需要及时更新。Amazon DocumentDB 集群需要使用新的 CA 证书以保持连接的安全性。本文提供了通过控制台和 AWS CLI 更新证书的步骤。

在2024年8月即将到来之前，您可能已经注意到有关 旋转您在 Amazon RDS 和 Amazon Aurora 中的 SSL/TLS 证书 的通知，或者您也许已经收到来自 AWS 的有关 更新您的 Amazon DocumentDB TLS 证书 的通知。

如果您正在使用启用传输层安全性TLS的 Amazon DocumentDB与 MongoDB 兼容 集群，并且尚未旋转您的客户端应用程序和服务器证书，您应遵循本帖中的步骤以避免与 Amazon DocumentDB 集群之间的连接问题。

传输层安全性

您 Amazon DocumentDB 集群中传输加密的数据由一个 集群参数组 中的 TLS 参数进行管理。 TLS 连接通过加密在客户端应用程序和数据库实例之间流动的数据提供了一层 安全性，并通过验证安装在数据库实例上的服务器证书来执行服务器身份验证。

证书颁发机构CA生成具有时间限制的证书，客户端应用程序会检查这些证书以在交换信息之前与数据库实例进行身份验证。AWS 定期更新 CA 并创建新证书，以确保您的连接在未来几年内得到适当的保护。

2023年10月，Amazon DocumentDB 集群新增加了两个 CA 证书：一个将在2061年到期rdscarsa2048g1，另一个将在2121年到期rdscarsa4096g1。另外，在2024年3月，新增加了第三个 CA 证书rdscaecc384g1，该证书也将在2121年到期，仅适用于 Amazon DocumentDB 40 和 50 引擎版本。如果您在2024年1月25日以后创建了 Amazon DocumentDB 集群，则您已经拥有最新的服务器证书。

在2024年，rdsca2019 CA 证书将在下表列出的各个 Amazon DocumentDB 区域到期。

到期日期区域2024年8月22日美国东部俄亥俄州、美国东部北弗吉尼亚州、美国西部俄勒冈州、亚太地区孟买、亚太地区首尔、亚太地区新加坡、亚太地区悉尼、亚太地区东京、加拿大中央、欧洲法兰克福、欧洲爱尔兰、欧洲伦敦、欧洲巴黎、南美洲圣保罗2024年9月9日中国北京、中国宁夏2024年10月28日欧洲米兰2061年之前不受影响亚太地区香港、亚太地区海德拉巴、AWS GovCloud美国东部、AWS GovCloud美国西部

通过 Amazon DocumentDB 控制台更新证书

要在 Amazon DocumentDB 集群中的每个实例上更新证书，请完成以下步骤：

在 Amazon DocumentDB 控制台中，选择导航窗格中的 Clusters集群。

选择您一个主实例或副本实例的集群标识符。

在 Configuration配置选项卡中，找到当前 CA 及数据库实例证书的到期日期。

如果您的实例使用的是 rdsca2019 CA，如以下截图所示，您需要更新实例。

如果您的实例已经使用 rdscarsa4096g1、rdscarsa2048g1 或 rdscaecc384g1 证书，则您已经在使用最新的服务器证书，无需完成剩余步骤。有关这些证书的更多信息，请参见 更新您的应用程序和 Amazon DocumentDB 集群。

在 Configuration配置选项卡中，选择 Modify修改。

在 Certificate authority证书颁发机构部分，选择新的服务器证书，即 rdscarsa4096g1、rdscarsa2048g1 或 rdscaecc384g1。

选择 Continue继续。

在 Scheduling of modifications修改调度部分，选择是否希望立即应用更改或在下一个维护窗口中应用。选择 Modify instance修改实例。

如果您返回到 Amazon DocumentDB 控制台的 Clusters 页面，您将注意到实例的状态将变为 modifying正在修改，然后再次显示为 available可用。

使用 AWS CLI 更新证书

您也可以使用 AWS CloudShell 检查和旋转证书，通过 AWS 命令行界面AWS CLI。有关如何开始使用 CloudShell 的更多信息，请参阅 AWS CloudShell 用户指南。

运行以下命令返回您所在区域中所有使用 rdsca2019 证书的 Amazon DocumentDB 实例：

bashaws docdb describedbinstances filters Name=engineValues=docdb query DBInstances[CACertificateIdentifier==rdsca2019]DBInstanceIdentifier[]

要更新证书，请传递前面命令输出中返回的 DBInstanceIdentifier，并选择适当的证书：

bashaws docdb modifydbinstance dbinstanceidentifier [DBInstanceIdentifier] cacertificateidentifier [rdscarsa2048g1 rdscarsa4096g1 rdscaecc384g1] applyimmediately

您可以运行以下命令查看您集群中支持的 cacertificateidentifier：

bashaws docdb describedbengineversions engine docdb query DBEngineVersions[][EngineEngineVersionSupportedCACertificateIdentifiers]

您应在所有拥有 Amazon DocumentDB 集群的区域重复这些步骤。

结论

如果您的应用程序使用 TLS 与 Amazon DocumentDB 连接，您应立即开始更新证书的过程。Amazon DocumentDB 在证书到期之前不会自动旋转您的证书，您需要在到期日期之前更新您的客户端和集群以使用新的 CA 证书，以继续使用 Amazon DocumentDB 的默认传输加密功能。

要了解有关 Amazon DocumentDB 安全性的更多信息，请参阅 Amazon DocumentDB 中的安全性。您还可以参考有关 Amazon DocumentDB 上 TLS 证书的 常见问题 以获取更多更新证书的信息。如有其他问题或问题，您可以通过您的支持计划直接联系 AWS 支持 。

关于作者

Raghu Rao 是 AWS 的高级技术项目经理。他热衷于通过利用云服务、开源和人工智能/机器学习来解决客户的问题。Raghu 管理复杂的全球项目，具备安全和合规方面的知识。在业余时间，他喜欢与家人共度时光和徒步旅行。

飞鱼加速下载

Cody Allen 是驻德克萨斯州的高级 DocumentDB 专家解决方案架构师。他热衷于与客户齐心协力解决复杂问题，并通过指导和知识转移来支持团队成员。他的职业生涯专注于为 B2B SaaS 提供商、物资和物流供应商、美国空军以及其他国内和国际政府机构部署和管理系统、软件和基础设施。

加载评论