我们在工作中使用Amazon RDS作为我们的数据库。 最近我们收到一封来自Amazon的自动邮件,说他们会更新SSL证书,如果我们没有在X时间内升级数据库实例,他们将停止运行。 谢天谢地,他们提供了解释如何在AWS文档中这样做的说明 。
说明非常直接,但我不得不承认我有点困惑。 步骤1和步骤2介绍如何下载SSL证书并将其安装在客户端应用程序中。 客户端应用程序需要安装服务器的SSL证书才能连接到它是不是很常见? 我可能完全不在这里,但是我想到的类比是networking浏览器在访问网站之前不需要提供PKCS7证书文件,对吧? 他们只是访问他们。
同样,我永远不会记得在连接到数据库实例之前,必须在MySQL WorkBench中安装证书文件。 所以我在想这个链接文档的第一步和第二步(上面)在我的情况下可能是不必要的,也许在大多数人的情况下是这样。
但是,就像我说的那样,我可以完全离开这里。 任何人都可以启发我什么时候和为什么你需要在访问数据库的客户端应用程序中安装SSL证书?
他们正在使用一个私人的PKI,因此基本上是自签名的证书,这是有道理的。 这是一种不好的做法,但文档都在那里,希望你有一些带外的方式来确认下载之前的证书。 攻击者可能会更改KB网页和证书,并拥有自己的连接; 你只有等到报纸上的时候才会知道。
/编辑 – 继续下载证书并查看信任链。 除非您自己已经完成,否则您不信任Amazon根CA.
我经常在另一方面 – 想要与云服务build立安全连接,而无需为我支付真正的证书。 我会导出我的自签名证书,并将其导入到云服务中,以便他们知道他们正在连接到我告诉他们的人。 在这种情况下,半个面包总比没有面包好。