はじめに
業務でRDSの認証局証明書をrds-ca-2019からrds-ca-rsa2048-g1へ更新する作業を行いました。
備忘録として記事に残したいと思います。
概要
新規でデータベースを作成する場合、認証機関のデフォルト設定はrds-ca-2019となっています。
証明書の有効期限が切れるとSSL/TLS通信が行えなくなるため、
rds-ca-2019を使用しているデータベースは、期限までに証明書の更新が必要となります。
■利用可能な認証局の一覧
| 証明書 | プライベートキー アルゴリズム |
署名アルゴリズム | 証明機関の期限 |
|---|---|---|---|
| rds-ca-2019 | RSA2048 | SHA256 | 2024/8/23 |
| rds-ca-rsa2048-g1 | RSA2048 | SHA256 | 2061/5/26 |
| rds-ca-rsa4096-g1 | RSA4096 | SHA384 | 2121/5/26 |
| rds-ca-ecc384-g1 | ECC384 | SHA384 | 2121/5/26 |
なるべく他に影響が出ないようにするには、rds-ca-2019と同じアルゴリズムのRSA2048を
使用しているrds-ca-rsa2048-g1に変更するのがよいと思います。
■クライアント側の対応
証明書バンドルを使ったSSL/TLS通信をしていない場合は、クライアント側の更新作業は不要となります。
データベース側の証明書を更新した場合でも、問題なく接続することが可能です。
*参考
手順
1.事前情報確認
まず、変更対象のデータベースについて変更後に再起動が発生するかどうかを確認します。
RDSのトップ画面、左側メニューの下部にある「証明書の更新」をクリックします。
「証明書の更新が必要なデータベース」にて、対象のデータベースの「再起動が必要です」列をチェックします。
DBエンジンやバージョンで再起動の有無が異なるようなので、確認を推奨します。
RDSのトップ画面に戻り、対象データベースの「接続とセキュリティ」タブより状態を確認します。現在rds-ca-2019を設定しており、証明書の有効期限が2024年8月23日であることを確認できます。
2.証明書更新
証明書更新はインスタンス単位で行います。
マルチAZ構成のデータベースでは、複数回作業が発生します。
更新対象のインスタンスを選択していることを確認し、「変更」ボタンをクリックします。
「認証機関」にて、証明書をrds-ca-2019からrds-ca-rsa2048-g1に変更し、「続行」を押します。
「変更のサマリー」にて、変更内容に間違いがないか確認します。
「変更のスケジュール」にて、変更を適用するタイミングを選択します。
確認と選択が完了したら、「DBインスタンスを変更」をクリックします。
3.更新されたことを確認
対象データベースの「接続とセキュリティ」タブより状態を確認します。
rds-ca-rsa2048-g1が設定されており、証明書の有効期限が2061年5月26日であることを確認できます。
おわりに
作業自体は簡単なものですが、適切な証明書を選ぶ必要があること、
データベースの再起動が発生する場合があることには注意するべきだと思いました。
本記事が少しでもお役に立てれば幸いです。