Jak automatycznie aktualizować trust store w AWS?

Mam taki scenariusz:

• kilka baz Amazon RDS, które okazują certyfikaty SSL podpisane przez Amazon CA
• aplikacja (java) łącząca się do bazy po SSLu powinna ufać tym certyfikatom

Obecne rozwiązanie:

• z Amazonowego bundle cerytifkatów CA (https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem) tworzę JKS, z JKSa sekret, który jest widoczny w ramach kontenera
• aplikacja za pomocą K8S API odczytuje hasło do trust store i inicjalizuje SSL'a

Działa ok. Natomiast pojawia się problem (nie na chwilę obecną, ale do czasu aż CA wygaśnie) z aktualizacją trust store.

Na chwilę obecną ludzie od utrzymania dostali przekaz:

• możecie monitorować daty wygaśnięcia i jak wygaśnie to odświeżyć zawartość trust store
• możecie nie-monitorować, jak wygaśnie, to się dowiecie bo przestanie działać
• skrypty do odświeżenia trust store są tu i tu

Czy AWS dostarcza jakieś klocki, które umożliwiłyby automagiczną aktualizację trust store? Może filozofia obsługi problemu jest inna? (Jaka?)
Nie wiem, może "zawsze aktualny" bundle da się go zaciągnąć do aplikacji za pomocą API / zamontować jakiś globalny EKSowy sekret?

ACM powinien ogarniać na amazonowych instancjach. Z third party kiedyś rzeźbiliśmy ręcznie.

@wartek01: o ile rozumiem ACM ogarnie na Amazon RDS i baza pokaże nowy odświeżony certyfikat (np. ważny do końca 2024) podpisany przez amazonowe CA#A (to CA#A będzie ważne np. do 2028).
Jak CA#A wygaśnie w 2028, to ACM ogarnie nowy certyfikat serwera (ważny np. do 2029) i podpisze go nowym CA#B certyfikatem (ten nowy CA#B będzie ważnym np. do 2038).

Teraz na kliencie do bazy mam w trust store Amazon CA ważne do 2028 (i ten trust store ogarnia mi zmiany certyfikatu servera, o ile są podpisywane przez znane mi CA#A).

Tak czy inaczej, muszę doczytać o ACM, ale tak na szybko, to czy ACM dodaje gdzieś te certyfikaty CA?

Problem nie jest palący, a raczej chodzi mi o zrozumienie co w tym obszarze oferuje AWS i czy da się zrobić to w taki sposób, żeby operations nie musiało się zbytnio wysilać.

yarel napisał(a):

Tak czy inaczej, muszę doczytać o ACM, ale tak na szybko, to czy ACM dodaje gdzieś te certyfikaty CA?

Tak, u nas przynajmniej ACM miał listę certyfikatów amazonowych.

Problem nie jest palący, a raczej chodzi mi o zrozumienie co w tym obszarze oferuje AWS i czy da się zrobić to w taki sposób, żeby operations nie musiało się zbytnio wysilać.

Tak jak pisałem - u mnie to była zewnętrzna aplikacja spoza AWS. Raz na jakiś czas job (de facto skrypt bashowy) pobierał informację z ACMu o certyfikacie przez API, dorzucał do trust store i restartował aplikację. Same certyfikaty były odnawiane ręcznie, tj. jeśli OPS się spóźnił i odnowił za późno to musiał odpalić skrypt odświeżający jks sam.