【发布时间】:2020-05-14 16:46:56
【问题描述】:
我对 x509 证书有一个(轻微的)工作理解,我一直在努力理解为什么我遵循的说明不起作用。
我关注了https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL.html,它简单地说,连接sslmode=verify-ca(或verify-full)和sslrootcert=$CERTPATH,其中$CERTPATH 是他们在指南第一段中提供的证书路径。这样做我得到x509: certificate signed by unknown authority。
稍微调试一下,我(我对 x509 的理解很差)预计 RDS 会以 CN=*.something.us-west-2.rds.amazonaws.com(数据库)的一些证书作为响应,该证书由 CN=Amazon RDS us-west-2 2019 CA 之类的东西发布,并带有用于链接 CN=Amazon RDS us-west-2 2019 CA 证书的中间体到Amazon RDS Root 2019 CA 和Amazon RDS Root 2019 CA 是我们的sslrootcert。
我看到的是由OU=Server CA 1B, CN=Amazon 颁发的带有CN=*.something.us-west-2.rds.amazonaws.com 的证书以及从CN=Amazon,OU=Server CA 1B 到Amazon Root CA 1 的中间证书-来自https://www.amazontrust.com/repository/AmazonRootCA1.pem 的amazontrust.com 上的亚马逊根证书。所以psql "postgres://.../dbname?sslmode=verify-ca&sslrootcert=AmazonRootCA1.pem" 工作得很好。
Aurora 是否以某种方式配置错误?我做错了什么吗?我认为使用sslrootcert=AmazonRootCA1.pem 并不可怕,但我想从心理上理解我所缺少的部分。任何帮助表示赞赏。
【问题讨论】:
-
它失败的数据库是在翻转之后创建的(由昨天运行的 CI),所以应该没问题,但我会再次检查。
标签: postgresql amazon-web-services ssl amazon-rds