更新 Amazon RDS SSL/TLS 证书 - Elastic Beanstalk
stw*_*667 15 ruby-on-rails ssl-certificate rds amazon-web-services amazon-elastic-beanstalk
AWS 最近宣布需要:
在 2019 年 10 月 31 日之前更新您的 Amazon RDS SSL/TLS 证书
我有一个使用经典 Elastic Beanstalk 负载均衡器托管的 Rails 应用程序,它使用 RDS 连接到 Postgres 数据库。
亚马逊要求的步骤是:
- 从使用 SSL/TLS 加密与数据库实例的连接下载新的 SSL/TLS 证书。
- 更新您的数据库应用程序以使用新的 SSL/TLS 证书。
- 修改数据库实例,将 CA 从 rds-ca-2015 更改为 rds-ca-2019。
( https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html )
由于我的负载均衡器是这样设置的(通过 HTTP 端口 80(不是 SSL)连接到我的 EC2 实例,这是否意味着我不需要执行第 1 步和第 2 步?只执行第 3 步?
或者我是否必须下载更新的证书并将它们手动安装/添加到我的负载均衡器或 EC 实例?不知道该怎么做。
仅当您与 MySQL的应用程序连接是 TLS 加密时才需要步骤 1 和 2 。
不要更改 LB TLS设置,它会破坏您的应用程序,LB TLS是其他东西,而RDS TLS是其他东西。
如果您的应用程序只是创建普通连接,您可以安全地直接执行第 3 步。
修改数据库实例,将 CA 从 rds-ca-2015 更改为 rds-ca-2019。
DB 的通常做法是,DB 应该在私有子网中,并且它不应该从公共访问,当您的数据库和后端连接在互联网上而不是在 VPC 内时,TLS 会很有帮助。
通过 MySQL 客户端和服务器之间的未加密连接,可以访问网络的人可以查看您的所有流量并检查客户端和服务器之间发送或接收的数据。
- 谢谢@Adii。仅供参考,我使用 Postgres,而不是 MySQL。好消息是我拍了快照,刚刚尝试了步骤 3。一切仍然按预期进行。即使从应用程序服务器重新连接到数据库,它仍然报告它正在使用 SSL,因此我假设当 RDS 实例绑定到 EB 环境时,ElasticBeanstalk 会自动处理证书的信任。再次感谢。 (2认同)
| 归档时间: |
|
| 查看次数: |
3045 次 |
| 最近记录: |