Amazon RDS SSL/TLS証明書の更新

Amazonから2020年2月5日までにお客様のAmazon RDS SSL/TLS証明書の更新を行ってくださいという重要なお知らせが届いたので、具体的に何をすれば良いのか調べました。

届いたメールにSSL/TLS 証明書の更新についてのリンクがありましたので、こちらを確認しました。(本記事ではRDSのやり方をまとめましたが、Auroraもほぼ同じやり方のようです)

RDSの場合: https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html

Auroraの場合: https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL-certificate-rotation.html


準備

データベースの変更を行う前に、データベースへ接続するクライアント側の更新を行います。私の場合EC2インスタンスからデータベースへアクセスするときにSSL接続するので、EC2インスタンスへ新しい証明書をダウンロードしました。


以下のリンクにダウンロード先が記載されています。

https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html


EC2インスタンスへログインし、wgetコマンドを実行しました。

(今回はrds-ca-2019へ証明書をアップデートするのでrds-ca-2019-root.pemをダウンロードしました。)

$ wget https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem

準備が終わったら、AWSマネジメントコンソールからデータベースの変更を行います。


1)RDSのコンソール画面でデータベースを選択し「変更」ボタンをクリックする

AWSマネジメントコンソール⇒RDS⇒データベースを選択し「変更」ボタンをクリックします。

2)認証機関の項目で”rds-ca-2019”を選択します。

”rds-ca-2019”を選択すると項目下に青枠で英語のメッセージが表示されます。


↓青枠内をGoogle翻訳しました。

「CA証明書のローテーションをスケジュールする前に、データベースに接続するクライアントアプリケーションを更新して、新しいCA証明書を使用します。これを行わないと、アプリケーションとデータベース間の接続が中断されます。」

→データベース接続するクライアントのアプリケーションや証明書も更新しないといけないという注意でした。

本記事の最初の準備で、すでにクライアントの証明書もダウンロードしたので「次へ」ボタンをクリックします。


3)DBインスタンスの変更

DBインスタンスの変更を次のメンテナンスウィンドウで適用するか、すぐに適用するかを選択し「DBインスタンスの変更」ボタンをクリックします。

今回は「すぐに適用」を選択しDBインスタンスの変更を行いました。

(こちらを選択するとすぐにデータベースが再起動されます。時間を指定して行いたい場合はメンテナンスウィンドウで日時の設定をしてください。)

Amazon RDS SSL/TLS証明書の更新は以上で終了です。

データベースが複数ある場合は、1)~3)をデータベースの数だけ行う必要があります。

今回、DBのシャットダウンから再起動まで10秒ほどかかりました。


4)動作確認

クライアントの証明書をダウンロードしたEC2へログインし、新しい証明書を使ってmysql接続できることが確認できました。

※掲載内容は、記事公開時点のものです。紹介されているサービス内容は変更される場合がありますので、ご利用の際は事前にサービス提供元等をご確認ください。

Firebaseなら銀座ITラボ

銀座ITラボは、Firebase、iOS/Androidアプリ、AI、クラウドサービス等の技術情報に関する記事を紹介するシンプルメーカーのオウンドメディアです。

0コメント

  • 1000 / 1000