Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊,請參閱[部落格文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 SSL 連線轉換為使用 ACM 憑證
Amazon Redshift 將會以 [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) 發行的憑證取代您叢集上的 SSL 憑證。ACM 是大多數現行系統信任的公有憑證授權機構 (CA)。您可能需要更新目前的信任根 CA 憑證,才能繼續使用 SSL 連線到叢集。
只有在下列所有情況都存在時,此變更才會影響您:
+ SQL 用戶端或應用程式使用 SSL 來連接至 Amazon Redshift 叢集,且 `sslMode` 連線選項設為 `require`、`verify-ca` 或 `verify-full` 組態選項。
+ 您不使用 Amazon Redshift ODBC 或 JDBC 驅動程式,或使用的 Amazon Redshift 驅動程式是 ODBC 1.3.7.1000 版或 JDBC 1.2.8.1005 版以前。
如果此變更會在 Amazon Redshift 商業區域影響到您,則您必須在 2017 年 10 月 23 日之前更新目前的信任根 CA 憑證。Amazon Redshift 會從現在開始到 2017 年 10 月 23 日之前,將您的叢集轉換為使用 ACM 憑證。此變更對叢集效能或可用性的影響應該非常小,或完全不影響。
如果此變更影響 AWS GovCloud (US) (美國) 區域,則您必須在 2020 年 4 月 1 日之前更新目前的信任根 CA 憑證,以避免服務中斷。從這個日期起,使用 SSL 加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權單位 (CA)。用戶端在連線到 Amazon Redshift 叢集時,會使用受信任的憑證授權單位來確認該叢集的身分。您必須採取動作,才能更新 SQL 用戶端和應用程式,以使用包含新信任 CA 的更新憑證套件。
**重要**
在 2021 年 1 月 5 日的中國區域中,Amazon Redshift 會將叢集上的 SSL 憑證取代為 AWS Certificate Manager (ACM) 發行的憑證。如果此變更會在中國 (北京) 區域或中國 (寧夏) 區域影響到您,則您必須在 2021 年 1 月 5 日之前更新目前的信任根 CA 憑證,以避免服務中斷。從這個日期起,使用 SSL 加密連線連線至 Amazon Redshift 叢集的用戶端需要額外的受信任憑證授權單位 (CA)。用戶端在連線到 Amazon Redshift 叢集時,會使用受信任的憑證授權單位來確認該叢集的身分。您必須採取動作,才能更新 SQL 用戶端和應用程式,以使用包含新信任 CA 的更新憑證套件。
+ [使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式](#connecting-transitioning-to-acm-latest-odbc-jdbc)
+ [使用較舊的 Amazon Redshift ODBC 或 JDBC 驅動程式](#connecting-transitioning-to-acm-earlier-odbc-jdbc)
+ [使用其他 SSL 連線類型](#connecting-transitioning-to-acm-other-ssl-types)
## 使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式
建議使用最新的 Amazon Redshift ODBC 或 JDBC 驅動程式。從 ODBC 1.3.7.1000 版和 JDBC 1.2.8.1005 版開始的 Amazon Redshift 驅動程式,將會自動處理從 Amazon Redshift 自簽憑證轉換到 ACM 憑證。若要下載最新的驅動程式,請參閱[設定適用於 Amazon Redshift 的 JDBC 驅動器 2.x 版的連線](jdbc20-install.md)。
如果您使用最新的 Amazon Redshift JDBC 驅動程式,最好不要在 JVM 選項中使用 `-Djavax.net.ssl.trustStore`。如果您必須使用 `-Djavax.net.ssl.trustStore`,請將 Redshift 憑證授權機構套件匯入其指向的信任憑證庫。如需下載資訊,請參閱 [SSL](connecting-ssl-support.md#connect-using-ssl)。如需詳細資訊,請參閱[將 Amazon Redshift 憑證授權機構套件匯入 TrustStore](#importing-the-acm-bundle-to-truststore)。
## 使用較舊的 Amazon Redshift ODBC 或 JDBC 驅動程式
+ 如果 ODBC DSN 設定為 `SSLCertPath`,請覆寫指定路徑中的憑證檔案。
+ 如果未設定 `SSLCertPath`,請覆寫驅動程式 DLL 位置中名為 `root.crt` 的憑證檔案。
如果您必須使用的 1.2.8.1005 版以前的 Amazon Redshift JDBC 驅動程式,請執行下列其中一個動作:
+ 如果 JDBC 連線字串使用 `sslCert` 選項,請移除 `sslCert` 選項。然後將 Redshift 憑證授權機構套件匯入 Java TrustStore。如需下載資訊,請參閱 [SSL](connecting-ssl-support.md#connect-using-ssl)。如需詳細資訊,請參閱[將 Amazon Redshift 憑證授權機構套件匯入 TrustStore](#importing-the-acm-bundle-to-truststore)。
+ 如果您使用 Java 命令列 `-Djavax.net.ssl.trustStore` 選項,可能的話,請從命令列中移除。然後將 Redshift 憑證授權機構套件匯入 Java TrustStore。如需下載資訊,請參閱 [SSL](connecting-ssl-support.md#connect-using-ssl)。如需詳細資訊,請參閱[將 Amazon Redshift 憑證授權機構套件匯入 TrustStore](#importing-the-acm-bundle-to-truststore)。
### 將 Amazon Redshift 憑證授權機構套件匯入 TrustStore
您可以使用 `redshift-keytool.jar` 將 Amazon Redshift 憑證授權機構套件中的 CA 憑證匯入至 Java TrustStore 或您的私有信任憑證庫。
**將 Amazon Redshift 憑證授權機構套件匯入 TrustStore**
1. 下載 [redshift-keytool.jar](https://s3.amazonaws.com/redshift-downloads/redshift-keytool.jar)。
1. 執行以下任意一項:
+ 若要將 Amazon Redshift 憑證授權機構套件匯入 Java TrustStore,請執行下列命令。
```
java -jar redshift-keytool.jar -s
```
+ 若要將 Amazon Redshift 憑證授權機構套件匯入您的私有 TrustStore,請執行下列命令:
```
java -jar redshift-keytool.jar -k -p
```
## 使用其他 SSL 連線類型
如果您使用下列任何一項來連接,請遵循本節的步驟:
+ 開放原始碼 ODBC 驅動程式
+ 開放原始碼 JDBC 驅動程式
+ [Amazon Redshift RSQL](https://docs.aws.amazon.com/redshift/latest/mgmt/rsql-query-tool.html) 命令列界面
+ 任何以 libpq 為基礎的語言繫結,例如 psycopg2 (Python) 和 ruby-pg (Ruby)
**若要對其他 SSL 連線類型使用 ACM 憑證,請執行下列動作:**
1. 下載 Amazon Redshift 憑證授權機構套件。如需下載資訊,請參閱 [SSL](connecting-ssl-support.md#connect-using-ssl)。
1. 將套件中的憑證放入 `root.crt` 檔案中。
+ 在 Linux 和 macOS X 作業系統上,此檔案是 `~/.postgresql/root.crt`。
+ 在 Microsoft Windows 上,此檔案是 `%APPDATA%\postgresql\root.crt`。