Amazon RDS SSL / TLS証明書を更新する-Elastic Beanstalk
AWSは最近、次の必要性を発表しました。
2019年10月31日までにAmazon RDS SSL/TLS証明書を更新してください
Railsアプリケーションは、RDSを使用してPostgres DBに接続する従来のElastic Beanstalkロードバランサーでホストされています。
Amazonによる必要な手順は次のとおりです。
- SSL/TLSを使用したDBインスタンスへの接続の暗号化から新しいSSL/TLS証明書をダウンロードします。
- 新しいSSL/TLS証明書を使用するようにデータベースアプリケーションを更新します。
- DBインスタンスを変更して、CAをrds-ca-2015からrds-ca-2019に変更します。
( https://docs.aws.Amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html )
ロードバランサーをこのように設定しているため(SSLではなくHTTPポート80を介してEC2インスタンスに接続しています)、これはステップ1と2を実行する必要がなく、ステップ3のみを実行する必要があることを意味しますか?
または、更新された証明書をダウンロードして、ロードバランサーまたはECインスタンスに手動でインストール/追加する必要がありますか?それを行う方法がわかりません。
手順1および2は、アプリケーション MySQLとの接続がTLS暗号化されている場合 の場合にのみ必要です。
LB TLSの設定を変更しないでください。アプリケーションが破損する可能性があります LB TLS は他の何かで、- RDS TLS は別のものです。
アプリケーションが単純な接続を作成するだけであれば、ステップ3を直接実行しても安全です。
DBインスタンスを変更して、CAをrds-ca-2015からrds-ca-2019に変更します。
通常、DBの実践では、DBはプライベートサブネットにあり、パブリックからアクセスできないようにする必要があります。TLSは、データベースとバックエンドの接続がVPC内ではなくインターネット上にある場合に役立ちます。
MySQLクライアントとサーバー間の暗号化されていない接続により、ネットワークにアクセスできる誰かがすべてのトラフィックを監視し、クライアントとサーバー間で送受信されるデータを検査できます。
質問にははるかに簡単な答えがあります:
接続されているRDSが使用するCA証明書をアップグレードする場合は、Beanstalk環境に何もインストールする必要はありません。 https://stackoverflow.com/a/59742149/7051819
ポイント3に従って、1と2は無視してください。
(はい、私は自分でその答えを書きました)。