AWS RDS证书颁发机构更新

Question

我最近收到了一封电子邮件，内容涉及我的RDS证书颁发机构的必要更新。 RDS方面的说明似乎很简单：https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html

但是，在第4步上，有一条重要消息：“安排此操作时，请确保事先更新了客户端信任库。”

我似乎找不到任何有关更新服务器的信息，该服务器连接到RDS以进行CA更新。

我的设置是Beanstalk上的EC2实例。

有谁知道我该怎么做/该怎么做？
谢谢。

类似的问题：Update Amazon RDS SSL/TLS Certificates - Elastic Beanstalk

Answer 1

检查documentation。从这里，您可以下载rds 2019的根CA证书。下面是链接。

  

https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem

用法

此CA证书用于连接rds服务器，例如

mysql -h myinstance.c9akciq32.rds-us-east-1.amazonaws.com
--ssl-ca=[full path]rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

或将其添加到客户端操作系统的受信任根CA 中。

例如，在Windows中，您可以运行certmgr.msc并右键单击受信任的根ca，然后导入此证书。在Mac中，打开keychain access并导入此证书。这是一个选择。

Answer 2

要在Amazon（AWS）的Elastic Beanstalk环境中更改您的CA证书，请执行以下操作：

1. 登录到控制台（https://console.aws.amazon.com/）
2. 点击服务并搜索“ RDS”
3. 内部RDS（RDS是Beanstalk中的数据库所在的位置，即使它们直接连接到Beanstalk环境中也是如此）。单击右下角的“证书更新”（链接上会有非常读懂的通知）
4. 如果您有任何证书要升级，它们将显示在这里。
5. 单击RDS实例名称（数据库服务器的奇怪aws名称），也称为“数据库标识符”
6. （在其中，您可以在配置中看到有关它的更多信息），例如您的数据库用户名，如果您有很多并且忘记重命名它们，则可以帮助您识别实例。
7. 单击“操作”>“立即升级（现在将立即重新启动实例）”，或者单击“操作”>“在下一个窗口升级”（如果您的流量很大且用户众多，请选择此选项，这样可以减少干扰，即不会在中间中断）根据{{​​3}}）在白天而不是晚上
8. 就是这样。您不需要在Beanstalk环境中安装任何东西。

Answer 3

这是我们管理从Elastic Beanstalk到外部RDS PostgreSQL数据库的SSL通信的方式。我们将以下配置文件添加到.ebextensions（.ebextensions / rds.config）：

a

该文件从公共S3文件夹下载证书，并将.postgresql文件夹放置为根证书。我们正在使用Java应用程序，并且JDBC驱动程序已在启用SSL的情况下成功连接到RDS。