AWS Aurora PostgreSQL - x509：由未知机构签署的证书

Question

我对 x509 证书有一个（轻微的）工作理解，我一直在试图理解为什么我遵循的说明不起作用。

I followed https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL.html which simply says, connect with sslmode=verify-ca (or verify-full ) and sslrootcert=$CERTPATH , where $CERTPATH是他们在指南第一段中提供的证书路径。 这样做我得到x509: certificate signed by unknown authority 。

稍微调试一下，我（我对 x509 的理解很差）期望 RDS 响应一些证书，其中CN=*.something.us-west-2.rds.amazonaws.com （数据库）由类似CN=Amazon RDS us-west-2 2019 CA发出CN=Amazon RDS us-west-2 2019 CA以及用于将CN=Amazon RDS us-west-2 2019 CA证书链接到Amazon RDS Root 2019 CA的中间体， Amazon RDS Root 2019 CA是我们的sslrootcert 。

我看到的是一个证书CN=*.something.us-west-2.rds.amazonaws.com由OU=Server CA 1B, CN=Amazon和CN=Amazon,OU=Server CA 1B颁发给Amazon Root CA 1 - 亚马逊在amazontrust.com上的根证书，来自https://www.amazontrust.com/repository/AmazonRootCA1.pem 。 所以psql "postgres://.../dbname?sslmode=verify-ca&sslrootcert=AmazonRootCA1.pem"工作得很好。

Aurora 是否以某种方式配置错误？ 我做错了什么吗？ 我认为使用sslrootcert=AmazonRootCA1.pem并不可怕，但我想从心理上理解我所缺少的部分。 任何帮助表示赞赏。

Answer 1

我还收到了来自 Aurora Doc 的以下 rds 包的错误： https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL.html

但是我尝试了同一个 wiki 中给出的其他 ca 证书，它解决了“x509 未知权限”问题，并且客户端能够验证根证书。 https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem