更新Amazon RDS SSL / TLS证书-Elastic Beanstalk

Question

AWS最近宣布需要：

  

在2019年10月31日之前更新您的Amazon RDS SSL / TLS证书

我有一个由经典的Elastic Beanstalk负载平衡器托管的Rails应用程序，该负载平衡器使用RDS连接到Postgres数据库。

根据Amazon的必需步骤是：

1. 从“使用SSL / TLS加密与数据库实例的连接”中下载新的SSL / TLS证书。
2. 更新数据库应用程序以使用新的SSL / TLS证书。
3. 修改数据库实例以将CA从rds-ca-2015更改为rds-ca-2019。

（https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html）

由于我已经这样设置了负载均衡器（通过HTTP端口80（不是SSL）连接到我的EC2实例，这是否意味着我不需要执行步骤1和2？而只需要执行步骤3？< / p>

还是我必须手动下载更新的证书并将其安装/添加到我的负载均衡器或EC实例中？不知道该怎么做。

Answer 1

仅当您的应用程序connection with MySQL is TLS encrypted时才需要执行步骤1和2。

请勿更改LB TLS 设置，因为它可能会破坏您的应用程序，LB TLS是其他问题，RDS TLS是其他问题。

如果您的应用程序仅创建普通连接，则可以安全地直接执行步骤3。

  

修改数据库实例以将CA从rds-ca-2015更改为   rds-ca-2019。

对于DB来说，通常的做法是，DB应该位于私有子网中，并且不应从公共站点访问它，当您的数据库和后端连接位于Internet而非VPC上时，TLS很有帮助。

  

MySQL客户端与   服务器，可以访问网络的人可以监视您的所有   流量并检查客户端与客户端之间发送或接收的数据   服务器。

Answer 2

有一个更简单的答案：

如果您在Beanstalk环境中不需要安装任何软件， 您可以升级与其相连的RDS使用的CA证书。 https://stackoverflow.com/a/59742149/7051819

仅遵循第3点，而忽略1和2。

（是的，我自己写了这个答案）。