根据the documentation of RDS ,需要安装特定的公共(public)证书(“rds-ca-2019-root.pem”)才能使用带 SSL 的 RDS。
但是,Amazon 有一个公共(public)证书“Amazon Root CA”,该证书已安装在大多数操作系统上。
作为 Amazon 的一项服务,RDS 是否有任何理由不使用“Amazon Root CA”,而是使用用户必须自行安装在服务器上的自定义证书?更一般地说,是否有任何理由使用不同的证书提供程序而不是每次都使用相同的证书提供程序?
最佳答案
来自他们的announcement
The SSL/TLS certificates for RDS, Aurora, and Amazon DocumentDB expire and are replaced every five years as part of our standard maintenance and security discipline.
同时,Amazon Root CA 的当前证书要到 2037 年才会过期。
这里的用例明显不同,RDS、Aurora 和 DocumentDB 的用户期望至少每五年维护一次他们的应用程序,而 Amazon Root CA 适用于部署新 CA 根证书成本高昂的应用程序或者不可能。
关于amazon-web-services - 为什么 RDS 不使用 Amazon 根证书进行 SSL 连接,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67399500/