Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisierung von Anwendungen, um mithilfe neuer Zertifikate eine Verbindung zu MariaDB-Instanzen herzustellen SSL/TLS
Am 13. Januar 2023 veröffentlichte Amazon RDS neue Zertifizierungsstellen-Zertifikate (Certificate Authority, CA) zum Herstellen von Verbindungen mit Ihren RDS-DB-Instances mithilfe von Secure Socket Layer oder Transport Layer Security (SSL/TLS). Im Folgenden finden Sie Informationen dazu, wie Sie Ihre Anwendungen aktualisieren, um die neuen Zertifikate verwenden zu können.
In diesem Thema finden Sie Informationen dazu, wie Sie ermitteln, ob Ihre Anwendungen für die Herstellung von Verbindungen mit Ihren DB-Instances eine Zertifikatverifizierung erfordern.
Anmerkung
Einige Anwendungen sind so konfiguriert, dass sie nur dann Verbindungen mit MariaDB nur herstellen, wenn sie das Zertifikat auf dem Server erfolgreich identifizieren können. Für solche Anwendungen müssen Sie die Trust Stores Ihrer Client-Anwendung aktualisieren, damit diese die neuen CA-Zertifikate enthalten.
Sie können die folgenden SSL-Modi angeben: disabled, preferred und required. Wenn Sie denpreferred SSL-Modus verwenden und das CA-Zertifikat nicht vorhanden ist oder nicht auf dem neuesten Stand ist, verwendet die Verbindung nicht SSL und stellt weiterhin eine Verbindung erfolgreich her.
Wir empfehlen den preferred-Modus zu vermeiden Wenn die Verbindung im preferred-Modus auf ein ungültiges Zertifikat stößt, wird die Verschlüsselung beendet und unverschlüsselt fortgesetzt.
Nach der Aktualisierung der CA-Zertifikate in den Trust Stores Ihrer Client-Anwendung können Sie die Zertifikate auf Ihren DB-Instances rotieren. Es wird nachdrücklich empfohlen, diese Verfahren vor der Implementierung in Produktionsumgebungen in einer Entwicklungs- oder Testumgebung zu testen.
Weitere Informationen zur Zertifikatrotation finden Sie unter Ihr SSL/TLS Zertifikat rotieren. Weitere Informationen zum Herunterladen von Zertifikaten finden Sie unter . Hinweise zur Verwendung SSL/TLS mit MariaDB-DB-Instances finden Sie unter. SSL/TLS-Unterstützung für MariaDB-DB-Instances in Amazon RDS
Themen
Ermitteln, ob ein Client zum Herstellen von Verbindungen Zertifikatverifizierungen erfordert
Sie können überprüfen, ob JDBC-Clients und MySQL-Clients zum Herstellen von Verbindungen Zertifikatverifizierungen erfordern.
JDBC
Das folgende Beispiel mit MySQL Connector/J 8.0 zeigt eine Möglichkeit, die JDBC-Verbindungseigenschaften einer Anwendung zu überprüfen, um festzustellen, ob erfolgreiche Verbindungen ein gültiges Zertifikat erfordern. Weitere Informationen zu allen JDBC-Verbindungsoptionen für MySQL finden Sie unter Configuration Properties
Wenn Sie MySQL Connector/J 8.0 verwenden, erfordert eine SSL-Verbindung eine Überprüfung anhand des CA-Zertifikats des Servers, wenn Ihre Verbindungseigenschaften auf VERIFY_CA oder sslMode gesetzt sindVERIFY_IDENTITY, wie im folgenden Beispiel.
Properties properties = new Properties(); properties.setProperty("sslMode", "VERIFY_IDENTITY"); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD);
Anmerkung
Wenn Sie entweder den MySQL Java Connector v5.1.38 oder höher oder den MySQL Java Connector v8.0.9 oder höher verwenden, um eine Verbindung zu Ihren Datenbanken herzustellen, auch wenn Sie Ihre Anwendungen nicht explizit so konfiguriert haben, dass sie SSL/TLS beim Herstellen einer Verbindung zu Ihren Datenbanken verwendet werden, verwenden diese Clienttreiber standardmäßigSSL/TLS. In addition, when using SSL/TLS, sie führen eine teilweise Zertifikatsüberprüfung durch und können keine Verbindung herstellen, wenn das Datenbankserverzertifikat abgelaufen ist.
Geben Sie aus Sicherheitsgründen ein anderes Passwort als hier angegeben an.
MySQL
Die folgenden Beispiele mit dem MySQL-Client zeigen zwei Möglichkeiten, wie Sie die MySQL-Verbindung eines Skripts überprüfen, um zu ermitteln, ob zum Herstellen von Verbindungen ein gültiges Zertifikat erforderlich ist. Weitere Informationen zu allen Verbindungsoptionen mit dem MySQL-Client finden Sie unter Client-Side Configuration for Encrypted Connections
Wenn der MySQL 5.7- oder MySQL 8.0-Client verwendet wird, erfordert eine SSL-Verbindung die Verifizierung anhand des CA-Serverzertifikats, wenn Sie für die Option --ssl-mode den Wert VERIFY_CA oder VERIFY_IDENTITY angeben wie im folgenden Beispiel gezeigt.
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem--ssl-mode=VERIFY_CA
Wenn der MySQL 5.6-Client verwendet wird, erfordert eine SSL-Verbindung die Verifizierung anhand des CA-Serverzertifikats, wenn Sie die Option --ssl-verify-server-cert angeben wie im folgenden Beispiel gezeigt.
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem--ssl-verify-server-cert
Aktualisieren des Trust Stores Ihrer Anwendung
Informationen zur Aktualisierung des Trust Store für MySQL-Anwendungen finden Sie unter Using TLS/SSL with MariaDB Connector/J
Informationen zum Herunterladen des Stammverzeichnisses finden Sie unter .
Beispiele für Skripte, die Zertifikate importieren, finden Sie unter Beispielskript für den Import von Zertifikaten in Ihren Trust Store.
Anmerkung
Wenn Sie den Trust Store aktualisieren, können Sie ältere Zertifikate beibehalten und die neuen Zertifikate einfach hinzufügen.
Wenn Sie den Connector/J MariaDB-JDBC-Treiber in einer Anwendung verwenden, legen Sie die folgenden Eigenschaften in der Anwendung fest.
System.setProperty("javax.net.ssl.trustStore",certs); System.setProperty("javax.net.ssl.trustStorePassword", "password");
Legen Sie während des Startens der Anwendung die folgenden Eigenschaften fest.
java -Djavax.net.ssl.trustStore=/path_to_truststore/MyTruststore.jks-Djavax.net.ssl.trustStorePassword=my_truststore_passwordcom.companyName.MyApplication
Anmerkung
Geben Sie aus Sicherheitsgründen andere Passwörter als hier angegeben an.
Java-Beispielcode für die Herstellung von SSL-Verbindungen
Das folgende Code-Beispiel zeigt, wie die SSL-Verbindung mit JDBC eingerichtet wird.
private static final String DB_USER = "admin"; private static final String DB_USER = "user name"; private static final String DB_PASSWORD = "password"; // This key store has only the prod root ca. private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore"; private static final String KEY_STORE_PASS = "keystore-password"; public static void main(String[] args) throws Exception { Class.forName("org.mariadb.jdbc.Driver"); System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH); System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS); Properties properties = new Properties(); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD); Connection connection = DriverManager.getConnection("jdbc:mysql://ssl-mariadb-public.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306?useSSL=true",properties); Statement stmt=connection.createStatement(); ResultSet rs=stmt.executeQuery("SELECT 1 from dual"); return; }
Wichtig
Nachdem Sie festgestellt haben, dass Ihre Datenbankverbindungen Ihren Anwendungs-Truststore verwenden, SSL/TLS und Ihren Anwendungs-Truststore aktualisiert haben, können Sie Ihre Datenbank so aktualisieren, dass sie die 2048-g1-Zertifikate verwendet. rds-ca-rsa Anleitungen hierzu finden Sie in Schritt 3 unter Aktualisieren des CA-Zertifikats durch Ändern der DB-Instanceoder des DB-Clusters.
Geben Sie aus Sicherheitsgründen ein anderes Passwort als hier angegeben an.
