为什么要更新RDS CA证书
自2020 年 3 月 5 日前执行以下步骤。这样做意味着您可以避免应用程序与
如何知道AWS账号下是否有需要更新CA证书的RDS实例
访问您的AWS控制台,导航到Amazon RDS服务,在左侧导航栏选择“Certificate update,查看是否有“需要更新”的RDS实例,如有(如下图所示),强烈建议您在2020年2月5日之前更新您的数据库CA证书。
更新RDS CA证书
更新前注意事项
- 建议先在开发或测试环境中测试更新RDS CA证书的步骤,然后再将这些步骤应用于生产环境。
- 更新数据库实例以使用新的 CA 证书之前,务必确保已经更新连接到 RDS 数据库的客户端或应用程序。
- 2020 年 1 月 14 日之后创建的任何新 RDS 数据库实例默认使用新证书。如果要临时手动修改新的数据库实例以使用旧 (rds-ca-2015) 证书,您可以使用 AWS 管理控制台或 AWS CLI 执行该操作。2020 年 1 月 14 日之前创建的任何数据库实例使用 rds-ca-2015 证书,直到将其更新为 rds-ca-2019 证书。
下载新的SSL/TLS证书
新的SSL/TLS证书可从以下链接下载:
https://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html
可在链接中下载适用所有区域的根证书,如果应用程序不接受证书链,可在中间证书列表中下载AWS区域特定的证书。
更新应用程序以使用新的 SSL/TLS 证书连接到 MySQL 数据库实例
确认是否有任何应用程序适用SSL连接到MySQL数据库
如果当前使用的是,请运行以下查询来检查连接使用的是否是 SSL/TLS。
mysql> SELECT id, user, host, connection_type
FROM performance_schema.threads pst
INNER JOIN information_schema.processlist isp
ON pst.processlist_id = isp.id;
Linux客户端下通过以下命令连接到RDS MySQL数据库
mysql -h<RDS-Endpoint> -u<用户名> -p<用户密码>
检查连接是否使用的是SSL/TLS,若没有通过SSL/TLS连接的应用可以直接更新RDS CA证书
更新RDS CA证书
访问AWS控制台,导航至Amazon RDS控制台界面
选择左侧的“数据库”菜单,选择需要更新CA证书的数据库,选择“修改”
在“网络与安全”选项中,定位到“证书颁发机构”,下拉菜单选择“rds-ca-2019”
之后选择“继续”
可选择在下一个维护时段应用或者立即应用,注意更新证书会重启数据库,务必协调维护或停机窗口
选择修改后,数据库连接失败
在RDS界面查看数据库状态为“重启中”
数分钟内,查看RDS界面数据库状态为“可用”,证书已经为更新后的rds-ca-2019
在MySQL客户端重新查询表内容,重新连接成功并可正常查询
