AWS RDS-Mysql CA证书轮换指南​

AWS RDS-Mysql CA证书轮换指南​

为什么要更新RDS CA证书​

自2020 年 3 月 5 日前执行以下步骤。这样做意味着您可以避免应用程序与​

如何知道AWS账号下是否有需要更新CA证书的RDS实例​

访问您的AWS控制台，导航到Amazon RDS服务，在左侧导航栏选择“Certificate update，查看是否有“需要更新”的RDS实例，如有（如下图所示），强烈建议您在2020年2月5日之前更新您的数据库CA证书。​

更新RDS CA证书​

更新前注意事项​

建议先在开发或测试环境中测试更新RDS CA证书的步骤，然后再将这些步骤应用于生产环境。​ 更新数据库实例以使用新的 CA 证书之前，务必确保已经更新连接到 RDS 数据库的客户端或应用程序。​ 2020 年 1 月 14 日之后创建的任何新 RDS 数据库实例默认使用新证书。如果要临时手动修改新的数据库实例以使用旧 (rds-ca-2015) 证书，您可以使用 AWS 管理控制台或 AWS CLI 执行该操作。2020 年 1 月 14 日之前创建的任何数据库实例使用 rds-ca-2015 证书，直到将其更新为 rds-ca-2019 证书。​

下载新的SSL/TLS证书​

新的SSL/TLS证书可从以下链接下载：​

​​SSL/TLS 证书连接到 MySQL 数据库实例​

确认是否有任何应用程序适用SSL连接到MySQL数据库​

如果当前使用的是，请运行以下查询来检查连接使用的是否是 SSL/TLS。​

mysql> SELECT id, user, host, connection_type ​

FROM performance_schema.threads pst ​

INNER JOIN information_schema.processlist isp ​

ON pst.processlist_id = isp.id;​

Linux客户端下通过以下命令连接到RDS MySQL数据库​

mysql -h -u<用户名> -p<用户密码> ​

检查连接是否使用的是SSL/TLS,若没有通过SSL/TLS连接的应用可以直接更新RDS CA证书​

更新RDS CA证书​

访问AWS控制台，导航至Amazon RDS控制台界面​

选择左侧的“数据库”菜单，选择需要更新CA证书的数据库，选择“修改”​

在“网络与安全”选项中，定位到“证书颁发机构”，下拉菜单选择“rds-ca-2019”​

之后选择“继续”​

可选择在下一个维护时段应用或者立即应用，注意更新证书会重启数据库，务必协调维护或停机窗口​

选择修改后，数据库连接失败​

在RDS界面查看数据库状态为“重启中”​

数分钟内，查看RDS界面数据库状态为“可用”，证书已经为更新后的rds-ca-2019​

在MySQL客户端重新查询表内容，重新连接成功并可正常查询​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。