Accesarea rds MySql db cu SSL 443 în loc de 3306 (Programare, Mysql, Ssl, Amazon Web Services, Mysql Workbench, Rds)

Niall a intrebat.

Încerc să accesez db-ul meu rds mySql doar prin 443 în loc de 3306.

După ce am activat opțiunea ssl pe workbench și am introdus calea către mysql-ssl-ca-cert.pem, am încercat să dezactivez tcp 3306 pe grupul meu de securitate pentru a mă asigura că se conectează folosind 443, dar nu reușește.

Pot să mă conectez folosind linia de comandă mysql de mai jos, dar, din nou, eșuează odată ce dezactivez tcp 443 pe grupul de securitatemysql -h myinstance.c9akciq32.rds-us-east-1.amazonaws.com –ssl_ca=rds-ssl-ca-cert.pem

Documentația Amazon precizează: Suportul SSL din Amazon RDS este strict pentru criptarea conexiunii dintre clientul dvs. și instanța dvs. de baze de date; nu trebuie să se bazeze pe acesta pentru autentificarea serverului.

Asta înseamnă că mă pot autentifica vreodată la mysql db doar prin 3306 și nu prin 443, dar datele vor fi criptate în tranzit?

Problema mea este că clientul meu nu va deschide 3306 outbound pe firewall-ul lor, dar 443 este, desigur, deschis. Orice ajutor este apreciat.

1 răspunsuri
Mike Lischke

Confundați SSL și HTTPS. Portul 443 este portul implicit pentru conexiunile HTTPS. MySQL folosește în schimb 3306 (și poate folosi SSL pe acest port sau pe oricare altul pentru a cripta conexiunea). Așadar, configurarea criptării SSL pentru o conexiune MySQL nu afectează portul utilizat.

Pentru a utiliza un alt port decât cel standard, trebuie să reconfigurați serverul MySQL, ceea ce probabil nu puteți face cu o instanță RDS.

Este posibil să folosiți tunelizarea pentru a evita portul standard. În acest scenariu, trebuie să deschideți un tunel SSH (MySQL Workbench poate face acest lucru pentru dumneavoastră sau puteți utiliza un program extern, cum ar fi putty pe Windows sau ssh pe sistemele de operare de tip *nix). Odată creat acest tunel (care utilizează portul 22 în mod implicit, dar poate fi configurat pentru orice alt port, dacă acest lucru este important pentru dumneavoastră), puteți redirecționa accesul de la un port local (aici 3306, dar poate fi oricare) către un port la distanță (poate fi, de asemenea, oricare). Acest lucru necesită totuși un server SSH la distanță.