Подготовка к обновлению публичного сертификата AWS RDS в 2020 году (Postgres)

Question

У меня есть вопрос, связанный с истечением срока действия сертификата Amazon rds-ca-2015-root для баз данных Postgres, срок действия которого истекает 5 марта 2020 года. Я хотел быподготовить мои программные компоненты клиента Java, чтобы они имели минимальное время простоя при переключении сервера на новый сертификат 2020Клиенты используют хранилище доверенных сертификатов jks с сертификатом RDS при аутентификации сервера с использованием SSL.Я предполагаю, что сертификат 2020 будет предоставлен за 30 дней или около того, то есть 5 февраля 2020 года.

Это то, что я должен сделать, и я ищу какое-то подтверждение того, что это действительно будетработать, как я ожидаю:

1. Некоторое время до истечения срока действия отправить клиенту обновление программного обеспечения с помощью файла склада доверенных сертификатов, содержащего как сертификат 2015 года, так и сертификат 2020 года.Клиент должен продолжать счастливо проходить аутентификацию по сертификату 2015 года.Новый сертификат имеет другую подпись / отпечаток и не будет совпадать.Его следует игнорировать.

2. Непосредственно перед истечением срока действия измените экземпляр RDS для использования сертификата 2020.Требуется перезагрузка сервера.Клиенты будут сопоставлены с сертификатом 2020, игнорируя сертификат 2015, подпись которого больше не совпадает.Время простоя ограничивается только перезагрузкой сервера.

3. Через некоторое время отправьте новое обновление клиентам с хранилищем доверенных сертификатов, удаляя сертификат 2015 года.

Это правильный подход?Есть ли основания думать, что в # 1 клиенты java будут пытаться и не смогут аутентифицироваться по сертификату 2020 вместо этого, потому что он совпадает с тем же субъектом и эмитентом?Или, наоборот, в # 3 они пытаются и не могут пройти проверку подлинности на основе сертификата 2015 года из-за идентичных полей?

Я полагаю, чтобы задать вопрос по-другому, может ли клиент (Java или другой) иметь два открытых сертификатадля проверки подлинности сервера, когда срок действия одного из них истек, или он еще не действителен, но оба ссылаются на одного и того же субъекта и поставщика, и, возможно, даже имеют один и тот же открытый ключ, если Amazon не поворачивает их ключи (хотя я предполагаю, что в соответствии с передовой практикой они будут).

Answer 1

Да, у вас все правильно.Для справки я встретил клиентов Amazon RDS: обновите свои SSL-сертификаты , которые подтверждают этот процесс.Сертификаты относятся к 2015 году, но процесс все тот же.

Относительно наличия двух действительных сертификатов в хранилище клиентов с одинаковой темой и соответствия клиента:

Проверка выполняется путем создания пути сертификации путем объединения цепочки эмитента.DN (отличительное имя) сертификата для подтверждения субъектному DN сертификата CA, которому вы доверяете.

См. В SSL как сертификат сопоставляется / обнаруживается в доверенном хранилище?

Поскольку CA разные, сертификаты могут сосуществовать в одном и том же хранилище доверенных сертификатов, и он будет преобразован в правильный сертификат.