Возможно ли использовать AWS RDS Postgres SSL-соединения с псевдонимами DNS вместо AWS Endpoint?

Question

Экземпляры RDS Postgres имеют автоматически сгенерированный сертификат SSL, который использует имя конечной точки в качестве общего имени сертификата. Создание SSL-соединения с экземпляром с использованием этого автоматически сгенерированного сертификата является тривиальным.

Можно ли обновить существующий сертификат или создать и дополнительный сертификат, чтобы псевдоним домена можно было использовать для конечной точки при инициализацииSSL-соединение, а не имя конечной точки?

Например, у меня есть псевдоним домена, настроенный как testdb.mydomain.com CNAME testd.abcd1234hj1.us-east-1.rds.amazonaws.com и я хочу иметь возможностьчтобы установить SSL-соединение с testdb.mydomain.com

Я использую псевдонимы доменных имен для моих конечных точек экземпляра AWS RDS Postgres, например testdb.mydomain.com CNAME testdb.abcd1234asds.us-east-1.rds.amazonaws. ком

Answer 1

Можно ли обновить существующий сертификат или создать и дополнительный сертификат, чтобы псевдоним домена мог использоваться для конечной точки при инициализации соединения SSL, а не для имени конечной точки?

К сожалению, в настоящее время это не поддерживается RDS. Невозможно обновить RDS для использования настраиваемого сертификата, соответствующего вашему CNAME. Единственный способ сделать это - на стороне клиента, если вы используете платформу приложений, которая позволяет вам писать код для обработки ошибок проверки сертификации. В этом случае можно реализовать код, позволяющий игнорировать ошибки проверки сертификата для конкретной конечной точки RDS при сбое для любой другой конечной точки.