【问题标题】:Preparing for renewal of AWS RDS public certificate in 2020 (Postgres)2020年AWS RDS公证书更新准备(Postgres)
【发布时间】:2020-01-24 01:38:19
【问题描述】:

我有一个关于 Postgres 数据库的 Amazon rds-ca-2015-root 证书到期的问题,该证书计划于 2020 年 3 月 5 日到期。我想准备我的 java 客户端软件组件,以便在服务器切换到新的 2020 证书时它们的停机时间最短。在使用 SSL 对服务器进行身份验证时,客户端使用带有 RDS 证书的 jks 信任库。我假设 2020 年证书将在 30 天左右之前提供,即 2020 年 2 月 5 日。

这是我认为我应该做的,我正在寻找一些确认这确实会按我的预期工作:

  1. 在到期前的某个时间,使用包含 2015 证书和 2020 证书的信任库文件向客户端推送软件更新。客户端应该继续愉快地根据 2015 证书进行身份验证。新证书具有不同的签名/指纹,不会匹配。应该忽略它。

  2. 就在到期之前,修改RDS实例使用2020证书。需要重新启动服务器。然后,客户端将匹配 2020 证书,忽略签名不再匹配的 2015 证书。停机时间仅限于重新启动服务器。

  3. 稍后,使用删除 2015 证书的信任库向客户端推送新更新。

这是正确的方法吗?是否有任何理由认为在 #1 中,Java 客户端将尝试对 2020 证书进行身份验证但失败,因为它与相同的主题和颁发者匹配?或者相反,在 #3 中,他们尝试对 2015 年证书进行身份验证但由于字段相同而失败?

我想以另一种方式提出问题,客户端(java 或其他)是否可以持有两个用于服务器身份验证的公共证书,其中一个已过期或尚未有效,但两者都引用相同的主题和颁发者,并且可能如果亚马逊不轮换他们的密钥,甚至拥有相同的公钥(尽管我认为最佳实践表明他们会这样做)。

【问题讨论】:

    标签: postgresql amazon-web-services ssl rds root-certificate


    【解决方案1】:

    是的,你说得对。作为参考,我遇到了Amazon RDS Customers: Update Your SSL Certificates,它确认了这个过程。证书参考来自 2015 年,但过程仍然相同。

    关于在客户端存储中具有相同主题的两个有效证书,以及客户端如何匹配:

    验证是通过构建证书路径来完成的,通过将证书的颁发者 DN(可分辨名称)链接到您信任的 CA 证书的主题 DN 进行验证。

    In SSL how a certificate is matched/found in truststore?

    由于 CA 不同,证书可以共存于同一个信任库中,并且会解析为正确的证书。

    【讨论】:

    • 亚马逊比预期更早地发布了他们的 2019 年证书。我确认这确实按预期工作。
    【解决方案2】:

    在升级RDS中的证书颁发机构到rds-ca-2019之前,在不中断连接的情况下,您可以在客户端升级证书。

    如果您的 RDS 有 rds-ca-2015,您应该使用此升级客户端密钥 https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem.

    根据 AWS 文档 https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html 它说 rds-combined-ca-bundle.pem 文件具有中间证书和根证书。

    一旦您的应用程序具有 combine-ca 文件,那么您应该继续将您的 RDS 升级到证书颁发机构 rds-ca-2019。

    通过这种方式,您可以将 RDS 中的证书颁发机构升级到 rds-ca-2019。

    【讨论】:

      猜你喜欢
      • 2020-02-13
      • 2020-02-27
      • 2016-04-13
      • 2020-06-13
      • 2021-12-28
      • 2020-02-15
      • 1970-01-01
      • 2019-09-03
      • 2020-04-28
      相关资源
      最近更新 更多