RDS Postgres实例具有一个自动生成的SSL证书,该证书使用端点名称作为证书通用名称。使用该自动生成的证书创建与实例的SSL连接很简单。
是否可以更新现有证书或生成附加证书,以便在初始化SSL连接时可以将域别名用作终结点而不是终结点名称?
例如我有一个域名别名设置为testdb.mydomain.com CNAME testd.abcd1234hj1.us-east-1.rds.amazonaws.com,并且希望能够初始化与testdb.mydomain.com的SSL连接
我将域名别名用于我的AWS RDS Postgres实例终端节点,例如testdb.mydomain.com CNAME testdb.abcd1234asds.us-east-1.rds.amazonaws.com
答案 0 :(得分:1)
是否可以更新现有证书或生成附加证书,以便在初始化SSL连接时可以将域别名用作终结点而不是终结点名称?
不幸的是,RDS当前不支持此功能。无法更新RDS以使用与您的CNAME匹配的自定义证书。如果使用的应用程序框架使您能够编写代码来处理认证验证错误,则唯一可行的方法是在客户端。在这种情况下,您可以实施允许忽略特定RDS端点的证书验证错误,而导致其他任何端点失败的代码。
答案 1 :(得分:0)
即使无法直接使用DNS别名(如@Ashaman Kingpin所述),我们仍然可以避免将CNAME传递给需要它的任何资源。
比方说,lambda函数需要连接到数据库,我们可以传递DNS别名,在lambda中解析CNAME,并使用生成的CNAME通过aws证书连接到RDS。