需要更新服务器或网站以支持 AWS 证书轮换

Posted

技术标签:

【中文标题】需要更新服务器或网站以支持 AWS 证书轮换【英文标题】:Needed Update to Server or Website to support AWS Certificate Rotation 【发布时间】:2020-04-04 02:52:54 【问题描述】:

我收到了一封来自 Amazon Web Services 的关于证书轮换的电子邮件。我需要知道是否应该对我的 EC2 或 Web.config 进行任何更改以使其支持新的数据库证书。

轮换您的 SSL/TLS 证书:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html

更新应用程序以使用新的 SSL/TLS 证书连接到 Microsoft SQL Server 数据库实例:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-sqlserver.html

我使用的 Web.config 中的示例连接字符串(省略了敏感数据)。

<add name="temp" connectionString="Server=someaddress.us-east-3.rds.amazonaws.com;
Port=3306;Database=somedatabase;Uid=someuserid;Pwd=somepassword" providerName="mysql.Data.MySqlClient" />

我所有的网站都有一个类似的连接字符串连接到 RDS 数据库服务器。

是否需要对 web.config 或 EC2 服务器进行任何更改以使我的网站支持新的证书轮换。

【问题讨论】:

从您的问题中不清楚您在谈论什么类型的证书。您的连接字符串适用于 MySQL,但您引用了 SQLServer。 AWS 也有 ACM 证书,这些证书部署在负载均衡器或云端。 【参考方案1】:

您无需进行任何更改,因为您没有使用SSL 证书连接到 RDS。您的网站将继续像现在一样工作,而无需对您的配置进行任何更改。但是您可以考虑使用 SSL 连接到您的 RDS,以便将来提高安全性。

【讨论】:

【参考方案2】:

只要您不使用 SSL 连接到您的数据库,就不会使用证书,并且您可以更新证书而不会产生任何副作用。 如果您的 connectionString 根据需要包含 sslmode,就会出现这种情况:

<add
name="mySql"
providerName="MySql.Data.MySqlClient"
connectionString="...;SslMode=Required;" />

由于情况并非如此,您可以立即更新您的证书。

【讨论】:

【参考方案3】:

是的,Web.config 确实需要更改。下面列出了所需的更改。根据您所做的安全组和 vpc 设置,可能会有其他更改。

    您需要将 SslMode=Required 参数添加到 connectionString 还要加一个参数SslCa=ca.pem

从 aws 下载 https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem 文件。

【讨论】:

别人说我不需要改。如果我不打算通过 SSL 连接,我需要更改 web.config 什么?

以上是关于需要更新服务器或网站以支持 AWS 证书轮换的主要内容,如果未能解决你的问题,请参考以下文章

Rancher 轮换证书 和 Rancher 自身证书过期处理

错误:在 Azure Kubernetes 服务 (AKS) 中轮换证书

微信小程序后台服务的发布

如何在aws中为cname设置ssl证书?

关于网站服务器的https访问,真的需要购买证书吗

使用 CloudFormation(和 Lambda 轮换模板)的 Aurora Serverless 密码轮换设置