如何通过 SSL 连接到 Amazon RDS？

Question

我正在尝试建立与通过 Amazon RDS 托管的 MySQL 数据库的 SSL 连接。我对如何连接感到困惑。

根据亚马逊的documentation，我需要下载一个名为“rds-ca-2015-root.pem”的 CA 证书并在我的 SSL 连接中使用它。 我将要连接的数据库用户设置为需要 SSL。

在 PHP 中，我包含以下代码来启动连接：

$mysqli = mysqli_init();
mysqli_options($mysqli, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);
$mysqli->ssl_set(NULL, NULL, "/path/to/pem", NULL, NULL);
$mysqli->real_connect("host", "username", "password", "name", 3306, NULL, MYSQLI_CLIENT_SSL);

但是，无论我在 ssl_set() 中将哪个路径指定为第三个参数（即使路径无效），都成功建立了 SSL 连接。第三个参数不能设置为NULL。

我通过运行以下查询来验证这一点：SHOW STATUS LIKE 'Ssl_cipher';。输出验证连接是否已加密 (Ssl_cipher => AES256-SHA)。

有人可以向我解释一下这是如何工作的吗？我对为什么当路径不正确时连接继续成功工作感到困惑。如何验证 RDS 服务器？

Answer 1

RDS 文档实际上解释了为什么会发生这种情况，并建议您甚至不需要 CA 证书：

Amazon RDS 开始更新所有数据库实例上的 SSL 证书 2015 年 3 月 23 日，但未启动实例重启。不 更新这些更新时会产生运营影响或停机时间 执行，并且在许多情况下，我们将在您的 维护窗口。 Amazon RDS 不会更新证书 如果您已经执行了更新，您的实例。另请注意 Amazon RDS 未更新 AWS GovCloud（美国）中的证书 和中国（北京）地区。

无论您是手动更新证书还是亚马逊 RDS 更新了证书，必须重启数据库实例 新证书生效。您可以决定何时 手动重启数据库实例，但您必须更新证书 并在旧证书之前重启实例 (rds-ca-2010) 将于 2015 年 4 月 3 日到期。

您可以检查您的数据库正在使用的证书颁发机构 (CA) 使用 Amazon RDS 控制台的实例。 CA 列在 数据库实例详细信息的安全和网络部分。如果你的 实例显示rds-ca-2015，则新证书已 成功申请。您仍然需要重新启动数据库实例 并更新您的客户端应用程序以使用新的 SSL 证书。

如果 Amazon RDS 控制台将您的实例 CA 显示为 rds-ca-2010，则 新证书尚未应用于您的数据库实例 然而。使用以下说明更新 SSL 证书 您的数据库实例。

第三个参数基本上被客户端忽略了。我打赌将第三个参数设置为NULL，如果所有参数都为空，则调用mysqli::ssl_set() 是没有意义的。

尝试完全删除该函数调用。

Answer 2

据我所知 - 如果您要求或要求与 RDS MySQL 建立 SSL 连接，您将获得一个 - 无论证书的本地副本是否有效或可读。

我在 Drupal 中使用以下配置，无论我在证书路径中的何处或放置什么，我都会获得 SSL 连接：

$databases['default']['default'] = [
  'database' => 'drupal_db',
  'username' => 'db_user',
  'password' => 'db_password',
  'host' => 'hostname',
  'port' => '3306',
  'driver' => 'mysql',
  'prefix' => '',
  'pdo' => array(
      PDO::MYSQL_ATTR_SSL_CA => '/etc/ssl/certs/rds-combined-ca-bundle.pem',
      PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,
  ),  
];

但是，如果我将 MYSQL_ATTR_SSL_VERIFY_SERVER_CERT 值设置为“false”，则会收到连接错误并且 Drupal 失败。到目前为止，我还没有找到任何解释为什么这不会验证证书和/或如何使它成功验证！