您可能已经收到电子邮件或看到控制台通知,但我不想让您感到惊讶!
立即轮换
如果您使用 Amazon Aurora、Amazon Relational Database Service (RDS) 或 Amazon DocumentDB,并且当您连接至数据库实例时将充分利用 SSL/TLS 证书验证的优势,则您需要下载和安装新的证书,轮换该实例的证书颁发机构,然后重启实例。
如果您未使用 SSL/TLS 连接或证书验证,则无需进行任何更新,但建议您执行此操作,以防您将来决定使用 SSL/TLS 连接。在此情况下,您可以使用新的 CLI 选项,轮换和暂存新的证书,但避免重新启动。
新证书 (CA-2019) 作为证书捆绑包的一部分提供,但也包括旧证书 (CA-2015),因此,您可以顺利过渡,而不会陷入先有鸡还是先有蛋的情形。
发生了什么?
RDS、Aurora 和 DocumentDB 的 SSL/TLS 证书已过期,并且作为我们标准维护和安全规程的一份,将会每五年替换一次。一些需要了解的重要日期如下:
2019 年 9 月 19 日 – CA-2019 证书推出。
2020 年 1 月 14 日 – 在此日期或之后创建的实例将拥有新的 (CA-2019) 证书。您可以在需要时临时恢复为旧的证书。
2020 年 2 月 5 日至 3 月 5 日 – RDS 将在现有实例上暂存(安装但不激活)新的证书。重新启动实例将激活该证书。
2020 年 3 月 5 日 – CA-2015 证书到期。使用证书验证但未更新的应用程序将断开连接。
如何轮换
本月初,我创建了一个 Amazon RDS for MySQL 数据库实例,并将它放在一边,准备用于此博文。从上面的屏幕截图可以看出,通过 RDS 控制台,我们可以知道需要执行证书更新。
访问使用 SSL/TLS 加密至数据库实例的连接并下载新的证书。如果我的数据库客户端知道如何处理证书链,则我可以下载根证书并将其用于所有区域。如果不知道,则可以下载一个特定于我的数据库实例所在区域的证书。我决定下载一个包含新旧根证书的捆绑包:
接下来,我可以更新我的客户端应用程序,以使用新的证书。此流程因应用程序和数据库客户端库的不同而不同,因此,我在此不会分享任何详细信息。
客户端应用程序更新之后,我将证书颁发机构 (CA) 更改为 rds-ca-2019。我可以在控制台中修改该实例并选择新的 CA:
我还可以通过 CLI 进行此操作:
Bash
更改将在下一个维护时段生效。我也可以立即应用它:
Bash
重启我的实例(立即或在维护时段中)之后,我可以测试我的应用程序,以确保它继续正常工作。
本文转载自 AWS 技术博客。
评论