本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 DynamoDB 對 SSL/TLS 連線建立問題進行疑難排解
<a name="ats-certs"></a>

Amazon DynamoDB 正在移動端點，以便保護由 Amazon Trust Services (ATS) 憑證認證機構而非第三方憑證認證機構所簽署的憑證。2017 年 12 月，我們推出 EU-WEST-3 (巴黎) 區域，附有由 Amazon Trust Services 發行的安全憑證。所有於 2017 年 12 月之後推出的新區域都具有附帶 Amazon Trust Services 發行的憑證的端點。本指南說明如何對 SSL/TLS 連線建立問題進行驗證和疑難排解。

## 測試您的應用程式或服務
<a name="w2aac58b5b5"></a>

 AWS SDKs和命令列界面 (CLIs) 支援 Amazon Trust Services 憑證授權單位。如果您使用的是 2013 年 10 月 29 日之前發行的適用於 Python 或 CLI 的 AWS SDK 版本，則必須升級。.NET、Java、PHP、Go、JavaScript、C\+\+ 軟體開發套件以及 CLI 無任何憑證套件，其憑證來自基礎作業系統。自 2015 年 6 月 10 日起，Ruby 軟體開發套件已包含至少一個必要 CA。在該日期之前，Ruby 第 2 版軟體開發套件並無憑證套件。如果您使用不支援、自訂或修改版本的 AWS SDK，或者如果您使用自訂信任存放區，您可能沒有 Amazon Trust Services Certificate Authority 所需的支援。

若要驗證能否存取 DynamoDB 端點，您需要進行測試來存取 EU-WEST-3 區域中的 DynamoDB API 或 DynamoDB Streams API，並驗證 TLS 交握是否成功。您需要在這種測試中存取的特定端點是：
+  DynamoDB：[https://dynamodb.eu-west-3.amazonaws.com](https://dynamodb.eu-west-3.amazonaws.com) 
+  DynamoDB Streams：[https://streams.dynamodb.eu-west-3.amazonaws.com](https://streams.dynamodb.eu-west-3.amazonaws.com) 

 如果應用程式不支援 Amazon Trust Services 憑證認證機構 (CA)，則會看到下列其中一項失敗：
+  SSL/TLS 溝通錯誤 
+  在軟體收到錯誤指出 SSL/TLS 溝通失敗之前，會有長時間延遲。延遲時間依用戶端的重試策略和逾時組態而定。

## 測試您的用戶端瀏覽器
<a name="w2aac58b5b7"></a>

 若要確認瀏覽器是否可連線到 Amazon DynamoDB，請開啟以下網址：[https://dynamodb.eu-west-3.amazonaws.com](https://dynamodb.eu-west-3.amazonaws.com)。如果測試成功，則會看到如下的訊息：

```
healthy: dynamodb.eu-west-3.amazonaws.com
```

 如果測試不成功，則會顯示類似以下內容的錯誤：[https://untrusted-root.badssl.com/](https://untrusted-root.badssl.com/)。

## 更新您的軟體應用程式用戶端
<a name="w2aac58b5b9"></a>

 如果應用程式尚未支援下列任何 CA，則在存取 DynamoDB 或 DynamoDB Streams API 端點時 (無論是透過瀏覽器還是編寫程式的方式)，均需更新用戶端機器上的信任 CA 清單：
+  Amazon 根 CA 1 
+  Starfield Services 根憑證認證機構：G2 
+  Starfield 類別 2 憑證認證機構 

 如果用戶端已經信任上述三個 CA 之中的任一個，則這些用戶端會信任 DynamoDB 使用的憑證，不需要進行任何動作。不過，如果用戶端尚未信任上述任何 CA，則與 DynamoDB 或 DynamoDB Streams API 的 HTTPS 連線將會失敗。如需詳細資訊，請參閱此部落格文章：[https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/](https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/)。

## 更新您的用戶端瀏覽器
<a name="w2aac58b5c11"></a>

 只要更新瀏覽器即可更新瀏覽器中的憑證套件。常用瀏覽器的說明可以在瀏覽器網站上找到：
+  Chrome：[https://support.google.com/chrome/answer/95414?hl=en](https://support.google.com/chrome/answer/95414?hl=en) 
+  Firefox：[https://support.mozilla.org/en-US/kb/update-firefox-latest-version](https://support.mozilla.org/en-US/kb/update-firefox-latest-version) 
+  Safari：[https://support.apple.com/en-us/HT204416](https://support.apple.com/en-us/HT204416) 
+  Internet Explorer：[https://support.microsoft.com/en-us/help/17295/windows-internet-explorer-which-version\#ie=other](https://support.microsoft.com/en-us/help/17295/windows-internet-explorer-which-version#ie=other) 

## 手動更新您的憑證套件
<a name="w2aac58b5c13"></a>

 如果您無法存取 DynamoDB API 或 DynamoDB Streams API，則需要更新憑證套件。為此，您需要匯入至少一個必要 CA。您可以在此尋找這些 CA：[https://www.amazontrust.com/repository/](https://www.amazontrust.com/repository/)。

 下列作業系統和程式設計語言支援 Amazon Trust Services 憑證認證機構：
+  具備自 2005 年 1 月起之更新的 Microsoft Windows 版本，Windows Vista、Windows 7、Windows Server 2008 和更新版本。
+  MacOS X 10.4 搭配 Java for MacOS X 10.4 第 5 版、MacOS X 10.5 和更新版本。
+  Red Hat Enterprise Linux 5 (2007 年 3 月)、Linux 6 和 Linux 7 以及 CentOS 5、CentOS 6、CentOS 7 
+  Ubuntu 8.10 
+  Debian 5.0 
+  Amazon Linux (所有版本) 
+  Java 1.4.2\_12、Java 5 更新版本 2 及所有更新版本，包括 Java 6、Java 7、Java 8 

如果您仍然無法連線，請參閱您的軟體文件、作業系統廠商，或聯絡 AWS Support https：//[https://aws.amazon.com/support](https://aws.amazon.com/support) 以取得進一步協助。