问题描述
在将数据库更新为使用新的 CA 证书时,会出现以下弹窗提示:
在计划 CA 证书轮换之前,请更新连接到您的数据库的客户端应用程序,以使用新的 CA 证书。不这样做将导致应用程序与数据库之间的连接中断。
用户有疑问:这是否是必需的?因为最初并不需要导入 CA 证书,为什么现在需要呢?如果是因为新的根 CA 不在旧版发行版的信任链中,是否有人知道 Ubuntu 18.04 的 ca-certificates 包中是否已经包含了新的 CA 证书?
解决方案
以下解决方案基于当前信息,注意根据实际情况做好备份及操作。
当您使用 SSL/TLS 连接到您的数据库实例时,确实需要按照提示进行 CA 证书的更新。否则,您可以忽略这个提示。
根据您的描述,这可能与新的根 CA 不在旧版发行版的信任链中有关。在 AWS 的博客中,可以找到关于 CA 证书轮换的详细信息以及其影响[^1^]。
根据 AWS 的官方文档,如果客户端已将数据库实例添加到其信任存储中,那么需要更新证书。在执行证书轮换操作之前,务必确保已经更新了客户端的信任存储[^2^]。更多详细信息可以在 AWS 的文档中找到[^3^]。
总结
更新 AWS RDS 数据库的 CA 证书是确保安全连接的重要步骤。根据您的应用程序是否使用 SSL/TLS 连接,您可能需要更新客户端的信任存储,以确保与数据库的连接不会中断。如果您使用的是旧版发行版,需要特别注意新的根 CA 是否已经包含在信任链中。
希望这些信息能够帮助您更好地理解并应对关于新的 AWS RDS CA 证书的问题。
[^1^]: AWS 博客 – Amazon RDS Customers: Update Your SSL/TLS Certificates by February 5, 2020
[^2^]: Amazon RDS User Guide – Using SSL/TLS to Encrypt a Connection to a DB Instance
[^3^]: Amazon RDS User Guide – Using Amazon RDS with SSL Support