Michael restore Monica Cellio's questions

我是一名开发人员，而不是 devops 或系统管理员。人和我正在努力弄清楚我们必须对 SSL 证书和我们的 AWS 数据库做些什么。众所周知，AWS数据库2015年颁发的证书将于2020年3月5日到期，需要安装2019年颁发的证书。

但是，在我看来，我们不需要证书即可连接到我们的 AWS 数据库。我的意思是要连接到我们的Azure数据库之一，需要以下 *nix 命令：

mysql -h ourstuff.database.azure.com -u ouruser -p --ssl-ca=certificatefile.crt.pem --ssl-mode=VERIFY_CA

但是要连接到我们的 AWS 数据库，我们不需要 SSL 的东西：

mysql -h ourstuff.blahblahblah.rds.amazonaws.com --database=ourdatabase -u ouruser -p

同样，我们有 PHP 应用程序提供证书以连接到 Azure 数据库（通过mysqli_ssl_set()），但不用于 AWS。

所以我有这些问题：

• 由于 AWS 仪表板中没有用于从数据库中删除证书的选项，我如何在不提供任何凭据的情况下连接到数据库？（密码除外）是因为我在公司的网络上，并且该网络被列入白名单吗？
• 我应该怎么做才能强制客户提供凭据？清空 IP 白名单表？如果存在这样的事情。
• 如果访问是基于 IP 白名单，如果我们强制通过 SSL 访问，它真的会增加数据库的安全性吗？
• 如果现在不需要证书，由于连接用户名（根据下面 Mlu 的回答），当我安装 2019 证书时会改变吗？

期待中的感谢。

我正在尝试为在 AWS 的 Ubuntu 实例中运行的 Apache2 配置 https 支持。我在 /etc/apache2/sites-enabled/default-ssl.conf 中启用了 SSL 支持：

# grep -v '^[   ]*#' /etc/apache2/sites-enabled/default-ssl.conf | grep -v '^$'
<VirtualHost *:443>
    ServerName miit.co
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    SSLEngine on
    SSLCertificateFile      /etc/ssl/certs/miit_co.crt
    SSLCertificateKeyFile /etc/ssl/private/miit-co.key
    <FilesMatch "\.(cgi|shtml|phtml|php)$">
            SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory /usr/lib/cgi-bin>
            SSLOptions +StdEnvVars
    </Directory>
</VirtualHost>

并且整个配置是有效的：

# apachectl configtest
Syntax OK

该文件/etc/ssl/private/miit-co.key是我生成的“PEM RSA 私钥”（现在不记得究竟是如何生成的），/etc/ssl/certs/miit_co.crt是我从非技术老板那里收到的两个miit_co.pem文件之一，另一个是我不知道如何处理的文件. 我还有一个csr.pem（PEM 证书请求），我生成并发送给我的老板。我没有给他发私钥文件。miit_co.pem也许我必须对那个文件做点什么。

当我启动 Apache ( systemctl start apache2) 时，没有任何内容/var/log/apache2/{error,access}.log表明 Apache2没有正常运行。但是，https ://www.digicert.com/help/ 当给定我们的站点名称 (miit.co) 时，只会旋转和旋转。我想知道除了 Apache 是否有其他东西停止https访问，因为http://miit.co按预期工作（它实际上重定向，但在这里不相关）但https://miit.co只是超时。 ufw status回复disabled。

/etc/apache2/mods-enabled包括ssl.{conf,load}.

如果我在本地机器上尝试 curl，则表明https请求正在访问 Apache：

# curl https://localhost
curl: (51) SSL: certificate subject name (miit.co) does not match target host name 'localhost'
# curl https://miit.co/michael
(hangs)

关于为什么https: access 挂起的任何建议？

我想将请求转移到特定的子目录，转移到另一个根位置。如何？我现有的块是：

server {
    listen       80;
    server_name  www.domain.com;

    location / {
        root   /home/me/Documents/site1;
        index  index.html;
    }

    location /petproject {
        root   /home/me/pet-Project/website;
        index  index.html;
        rewrite ^/petproject(.*)$ /$1;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    } }

也就是说，http://www.domain.com应该服务于 /home/me/Documents/site1/index.html 而http://www.domain.com/petproject应该服务于 /home/me/pet-Project/website /index.html - 似乎 nginx 在替换后重新运行了所有规则，而http://www.domain.com/petproject只是服务于 /home/me/Documents/site1/index.html 。

继我之前关于复活古代 Intergraph 6800 机器的问题（古代 Unix (CLIX) 系统上额外登录的许可文件）的问题之后，最初的问题是硬盘出现故障，因此这不能再次发生。所有关键数据都在单独的 /usr 分区上，所以我想知道如何使文件系统更健壮。在现代系统上，这将是微不足道的，但在这个古老的 Unix 上，这是一个挑战。

一种选择是将/usr安装在具有 RAIDx 的单独现代机器上，但 NFS 客户端软件是单独的许可选项，我不知道现在是否有人可以为我们提供 aa 许可证。

CLIX 软件不包含任何类型的元设备软件，例如 Sun 的 md 子系统，它可以让您将多个原始设备视为一个。

所以我想知道：有没有像 SCSI-2 盒子那样看似单个目标但实际上包含冗余磁盘的东西？

另一种选择可能是在机器上编译旧版本的 Samba 客户端软件，但它开始变得有点棘手。

备用选项是不时通过 FTP 提取关键数据，但这有点低技术，我怀疑这样做的过程会被忽略。