Utilizzo dei driver ODBC o JDBC di Amazon Redshift più recenti Utilizzo dei driver ODBC o JDBC di Amazon Redshift meno recenti Utilizzo di altri tipi di connessione SSL

Passaggio ai certificati ACM per connessioni SSL

Amazon Redshift sta sostituendo i certificati SSL nei cluster con certificati emessi da AWS Certificate Manager (ACM). ACM è un'autorità di certificazione (CA) pubblica considerata attendibile dalla maggior parte dei sistemi correnti. Potrebbe essere necessario aggiornare i certificati CA radice attendibili correnti per continuare a connettersi ai propri cluster utilizzando SSL.

Questo cambiamento ti riguarda solo in presenza di tutte le condizioni seguenti:

Le tue applicazioni o i tuoi client SQL si connettono ai cluster Amazon Redshift tramite protocollo SSL con l'opzione di connessione sslMode impostata sull'opzione di configurazione require, verify-ca o verify-full.
Non sono utilizzati i driver JDBC o ODBC di Amazon Redshift o sono utilizzati driver di Amazon Redshift precedenti a ODBC versione 1.3.7.1000 o JDBC versione 1.2.8.1005.

Se la modifica ti riguarda per le regioni Amazon Redshift commerciali, è necessario aggiornare i certificati emessi da una CA radice attendibili correnti prima del 23 ottobre 2017. Amazon Redshift completerà il passaggio dei cluster all'uso di certificati ACM tra la data odierna e il 23 ottobre 2017. Il cambiamento dovrebbe avere un effetto minimo o assente sulle prestazioni o la disponibilità del cluster.

Se questa modifica ti riguarda nelle regioni AWS GovCloud (US) (Stati Uniti), sarà quindi necessario aggiornare i certificati emessi da una CA root attendibili correnti prima del 1° aprile 2020 per evitare l'interruzione del servizio. A partire da questa data, i client che si connettono a cluster Amazon Redshift che utilizzano connessioni crittografate SSL necessitano di una certification authority (CA) attendibile aggiuntiva. I client utilizzano le certification authority attendibili per confermare l'identità del cluster Amazon Redshift quando si connettono. L'operazione è necessaria per aggiornare i client SQL e le applicazioni al fine di utilizzare un bundle di certificati aggiornato che includa la nuova CA attendibile.

Importante

Nelle regioni Cina il 5 gennaio 2021, Amazon Redshift sostituirà i certificati SSL nei cluster con i certificati rilasciati da AWS Certificate Manager (ACM). Se questa modifica riguarda la regione Cina (Pechino) o la regione Cina (Ningxia), allora sarà necessario aggiornare i certificati CA root attendibili correnti prima del 5 gennaio 2021 per evitare interruzioni del servizio. A partire da questa data, i client che si connettono a cluster Amazon Redshift che utilizzano connessioni crittografate SSL necessitano di una certification authority (CA) attendibile aggiuntiva. I client utilizzano le certification authority attendibili per confermare l'identità del cluster Amazon Redshift quando si connettono. L'operazione è necessaria per aggiornare i client SQL e le applicazioni al fine di utilizzare un bundle di certificati aggiornato che includa la nuova CA attendibile.

Utilizzo dei driver ODBC o JDBC di Amazon Redshift più recenti
Utilizzo dei driver ODBC o JDBC di Amazon Redshift meno recenti
Utilizzo di altri tipi di connessione SSL

Utilizzo dei driver ODBC o JDBC di Amazon Redshift più recenti

Il metodo preferito prevede l'utilizzo dei driver ODBC o JDBC di Amazon Redshift più recenti. I driver Amazon Redshift a partire dalla versione ODBC 1.3.7.1000 e versione JDBC 1.2.8.1005 gestiscono automaticamente il passaggio da un certificato autofirmato di Amazon Redshift a un certificato ACM. Per scaricare i driver più aggiornati, consultare Configurazione di una connessione per il driver JDBC versione 2.x per Amazon Redshift.

Se utilizzi il driver JDBC di Amazon Redshift più recente, ti consigliamo di non usare -Djavax.net.ssl.trustStore nelle opzioni JVM. Se è necessario utilizzare -Djavax.net.ssl.trustStore, importare il bundle di autorità di certificazione di Redshift nel truststore a cui fa riferimento. Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del bundle della certification authority di Amazon Redshift in un TrustStore.

Utilizzo dei driver ODBC o JDBC di Amazon Redshift meno recenti

Se il tuo DSN ODBC è configurato con SSLCertPath, sovrascrivi il file del certificato nel percorso specificato.
Se SSLCertPath non è impostato, sovrascrivi il file del certificato denominato root.crt nella posizione del DLL del driver.

Se è necessario utilizzare un driver JDBC Amazon Redshift precedente alla versione 1.2.8.1005, completare una delle operazioni seguenti:

Se la stringa di connessione JDBC utilizza l'opzione sslCert, rimuovi l'opzione sslCert. Quindi importa il bundle di autorità di certificazione di Redshift nel tuo TrustStore Java. Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del bundle della certification authority di Amazon Redshift in un TrustStore.
Se si utilizza l'opzione -Djavax.net.ssl.trustStore della riga di comando Java, rimuoverla dalla riga di comando, se possibile. Quindi importa il bundle di autorità di certificazione di Redshift nel tuo TrustStore Java. Per informazioni di download, consulta SSL. Per ulteriori informazioni, consulta Importazione del bundle della certification authority di Amazon Redshift in un TrustStore.

Importazione del bundle della certification authority di Amazon Redshift in un TrustStore

È possibile utilizzare il file redshift-keytool.jar per importare certificati emessi da una CA nel bundle della certification authority di Amazon Redshift in un TrustStore Java o nel truststore privato.

Come importare il bundle della certification authority di Amazon Redshift in un TrustStore

Scaricare redshift-keytool.jar.
Esegui una di queste operazioni:
- Per importare il bundle della certification authority di Amazon Redshift in un TrustStore Java, emettere il comando seguente.
```
java -jar redshift-keytool.jar -s
```
- Per importare il bundle della certification authority di Amazon Redshift in un TrustStore privato, emettere il comando seguente:
```
java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 
```

Utilizzo di altri tipi di connessione SSL

Segui la procedura descritta in questa sezione se utilizzi uno dei seguenti metodi di connessione:

Driver ODBC open source
Driver JDBC open source
L'interfaccia a riga di comando Amazon Redshift RSQL
Qualsiasi connessione di linguaggio basata su libpq, come psycopg2 (Python) e ruby-pg (Ruby)

Per utilizzare i certificati ACM con altri tipi di connessione SSL:

Scaricare il bundle della certification authority di Amazon Redshift. Per informazioni di download, consulta SSL.
Posizionare i certificati del bundle nel file root.crt.
- Sui sistemi operativi Linux e macOS X, il file è ~/.postgresql/root.crt.
- Su Microsoft Windows, il file è %APPDATA%\postgresql\root.crt.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione delle opzioni di sicurezza per le connessioni

Connessione da codice e strumenti client