更新 Amazon RDS SSL/TLS 证书 - Elastic Beanstalk
Update Amazon RDS SSL/TLS Certificates - Elastic Beanstalk
AWS 最近宣布需要:
Update Your Amazon RDS SSL/TLS Certificates by October 31, 2019
我有一个 Rails 应用程序托管在经典的 Elastic Beanstalk 负载均衡器上,它使用 RDS 连接到 Postgres 数据库。
亚马逊要求的步骤是:
- 从使用 SSL/TLS 加密到数据库实例的连接下载新的 SSL/TLS 证书。
- 更新您的数据库应用程序以使用新的 SSL/TLS 证书。
- 修改数据库实例以将 CA 从 rds-ca-2015 更改为 rds-ca-2019。
(https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html)
因为我的负载均衡器是这样设置的(通过 HTTP 端口 80(不是 SSL)连接到我的 EC2 实例),这是否意味着我不需要执行步骤 1 和 2?只需执行步骤 3 ?
或者我是否必须下载更新的证书并将它们 install/add 手动下载到我的负载均衡器或 EC 实例?不知道该怎么做。
仅当您的申请 connection with MySQL is TLS encrypted.
时才需要第 1 步和第 2 步
不要更改 LB TLS 设置它会破坏您的应用程序,LB TLS is something else, where RDS TLS 是另外一回事。
如果您的应用程序只是创建普通连接,您可以安全地直接执行步骤 3。
Modify the DB instance to change the CA from rds-ca-2015 to
rds-ca-2019.
DB 的通常做法,DB 应该在私有子网中,并且不应从 public 访问,当您的数据库和后端连接在 Internet 上而不是在 VPC 内时,TLS 很有用。
With an unencrypted connection between the MySQL client and the
server, someone with access to the network could watch all your
traffic and inspect the data being sent or received between client and
server.
问题的答案要简单得多:
You do not need to install anything in your Beanstalk environment if
you upgrade the CA Certificate used by the RDS attached to it.
只关注第3点,忽略第1点和第2点。
(是的,这个答案是我自己写的)。
AWS 最近宣布需要:
Update Your Amazon RDS SSL/TLS Certificates by October 31, 2019
我有一个 Rails 应用程序托管在经典的 Elastic Beanstalk 负载均衡器上,它使用 RDS 连接到 Postgres 数据库。
亚马逊要求的步骤是:
- 从使用 SSL/TLS 加密到数据库实例的连接下载新的 SSL/TLS 证书。
- 更新您的数据库应用程序以使用新的 SSL/TLS 证书。
- 修改数据库实例以将 CA 从 rds-ca-2015 更改为 rds-ca-2019。
(https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html)
因为我的负载均衡器是这样设置的(通过 HTTP 端口 80(不是 SSL)连接到我的 EC2 实例),这是否意味着我不需要执行步骤 1 和 2?只需执行步骤 3 ?
或者我是否必须下载更新的证书并将它们 install/add 手动下载到我的负载均衡器或 EC 实例?不知道该怎么做。
仅当您的申请 connection with MySQL is TLS encrypted.
时才需要第 1 步和第 2 步不要更改 LB TLS 设置它会破坏您的应用程序,LB TLS is something else, where RDS TLS 是另外一回事。
如果您的应用程序只是创建普通连接,您可以安全地直接执行步骤 3。
Modify the DB instance to change the CA from rds-ca-2015 to rds-ca-2019.
DB 的通常做法,DB 应该在私有子网中,并且不应从 public 访问,当您的数据库和后端连接在 Internet 上而不是在 VPC 内时,TLS 很有用。
With an unencrypted connection between the MySQL client and the server, someone with access to the network could watch all your traffic and inspect the data being sent or received between client and server.
问题的答案要简单得多:
You do not need to install anything in your Beanstalk environment if you upgrade the CA Certificate used by the RDS attached to it.
只关注第3点,忽略第1点和第2点。
(是的,这个答案是我自己写的)。