AWS RDS证书颁发机构更新

时间:2019-10-16 12:58:00

标签: amazon-web-services rds

我最近收到了一封电子邮件,内容涉及我的RDS证书颁发机构的必要更新。 RDS方面的说明似乎很简单:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html

但是,在第4步上,有一条重要消息:“安排此操作时,请确保事先更新了客户端信任库。”

我似乎找不到任何有关更新服务器的信息,该服务器连接到RDS以进行CA更新。

我的设置是Beanstalk上的EC2实例。

有谁知道我该怎么做/该怎么做?
谢谢。

类似的问题:Update Amazon RDS SSL/TLS Certificates - Elastic Beanstalk

3 个答案:

答案 0 :(得分:2)

检查documentation。从这里,您可以下载rds 2019的根CA证书。下面是链接。

  

https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem

用法

此CA证书用于连接rds服务器,例如

mysql -h myinstance.c9akciq32.rds-us-east-1.amazonaws.com
--ssl-ca=[full path]rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

或将其添加到客户端操作系统的受信任根CA 中。

例如,在Windows中,您可以运行certmgr.msc并右键单击受信任的根ca,然后导入此证书。在Mac中,打开keychain access并导入此证书。这是一个选择。

答案 1 :(得分:0)

要在Amazon(AWS)的Elastic Beanstalk环境中更改您的CA证书,请执行以下操作:

  1. 登录到控制台(https://console.aws.amazon.com/
  2. 点击服务并搜索“ RDS”
  3. 内部RDS(RDS是Beanstalk中的数据库所在的位置,即使它们直接连接到Beanstalk环境中也是如此)。单击右下角的“证书更新”(链接上会有非常读懂的通知)
  4. 如果您有任何证书要升级,它们将显示在这里。
  5. 单击RDS实例名称(数据库服务器的奇怪aws名称),也称为“数据库标识符”
  6. (在其中,您可以在配置中看到有关它的更多信息),例如您的数据库用户名,如果您有很多并且忘记重命名它们,则可以帮助您识别实例。
  7. 单击“操作”>“立即升级(现在将立即重新启动实例)”,或者单击“操作”>“在下一个窗口升级”(如果您的流量很大且用户众多,请选择此选项,这样可以减少干扰,即不会在中间中断)根据{{​​3}})在白天而不是晚上
  8. 就是这样。您不需要在Beanstalk环境中安装任何东西。

答案 2 :(得分:0)

这是我们管理从Elastic Beanstalk到外部RDS PostgreSQL数据库的SSL通信的方式。我们将以下配置文件添加到.ebextensions(.ebextensions / rds.config):

a

该文件从公共S3文件夹下载证书,并将.postgresql文件夹放置为根证书。我们正在使用Java应用程序,并且JDBC驱动程序已在启用SSL的情况下成功连接到RDS。

相关问题
最新问题