需要更新服务器或网站以支持 AWS 证书轮换

Posted 2023-03-04

【中文标题】需要更新服务器或网站以支持 AWS 证书轮换

【英文标题】：Needed Update to Server or Website to support AWS Certificate Rotation

【发布时间】：2020-04-04 02:52:54

【问题描述】：

我收到了一封来自 Amazon Web Services 的关于证书轮换的电子邮件。我需要知道是否应该对我的 EC2 或 Web.config 进行任何更改以使其支持新的数据库证书。

轮换您的 SSL/TLS 证书：https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html

更新应用程序以使用新的 SSL/TLS 证书连接到 Microsoft SQL Server 数据库实例：https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-sqlserver.html

我使用的 Web.config 中的示例连接字符串（省略了敏感数据）。

<add name="temp" connectionString="Server=someaddress.us-east-3.rds.amazonaws.com;
Port=3306;Database=somedatabase;Uid=someuserid;Pwd=somepassword" providerName="mysql.Data.MySqlClient" />

我所有的网站都有一个类似的连接字符串连接到 RDS 数据库服务器。

是否需要对 web.config 或 EC2 服务器进行任何更改以使我的网站支持新的证书轮换。

【问题讨论】：

从您的问题中不清楚您在谈论什么类型的证书。您的连接字符串适用于 MySQL，但您引用了 SQLServer。 AWS 也有 ACM 证书，这些证书部署在负载均衡器或云端。

【参考方案1】：

您无需进行任何更改，因为您没有使用SSL 证书连接到 RDS。您的网站将继续像现在一样工作，而无需对您的配置进行任何更改。但是您可以考虑使用 SSL 连接到您的 RDS，以便将来提高安全性。

【参考方案2】：

只要您不使用 SSL 连接到您的数据库，就不会使用证书，并且您可以更新证书而不会产生任何副作用。 如果您的 connectionString 根据需要包含 sslmode，就会出现这种情况：

<add
name="mySql"
providerName="MySql.Data.MySqlClient"
connectionString="...;SslMode=Required;" />

由于情况并非如此，您可以立即更新您的证书。

【参考方案3】：

是的，Web.config 确实需要更改。下面列出了所需的更改。根据您所做的安全组和 vpc 设置，可能会有其他更改。

您需要将 SslMode=Required 参数添加到 connectionString 还要加一个参数SslCa=ca.pem

从 aws 下载 https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem 文件。

【讨论】：

别人说我不需要改。如果我不打算通过 SSL 连接，我需要更改 web.config 什么？