Amazon RDS証明書が切れるというお知らせがきました。
そして、証明書を変更しました。
インスタンスの認証期間と認証期間の日付が更新されていることを確認。
数日後・・・
しかし、次のような通知メールが届きました。
〜省略
これは、SSL/TLS CA 証明書の有効期限に関するフォローアップ通知です。もしこの対応を完了しているにも関わらず、本通知を受け取っている場合は、2019 CA を使用して新しいインスタンスを作成したことが原因と考えられます。新しく作成されたインスタンスで、別の CA を明示的に指定していないものはすべて、デフォルトが rds-ca-rsa2048-g1 に切り替えられる 2024 年 1 月 25 日まで 2019 CA を使用します。アカウントレベルの CA のオーバーライドの設定については、modify-certificates API ドキュメント [1] を参照してください。
文面から
2024/1/25までは古い証明書がデフォルトで使われるよ。
それまでにデフォルトを切り替えたい場合はmodify-certificates APIで更新してね。
ということ?
つまりは、2024/1/26以降はデフォルトがrds-ca-rsa2048-g1に切り替わっているということと解釈。
現在から 2024 年 1 月 25 日まで – 新しい RDS DB インスタンスには、create-db-instance API の ca-certificate-identifier オプションで別の CA を指定しない限り、デフォルトで rds-ca-2919 証明書が含まれます。または、上記のセクションで言及したように、アカウントのためにデフォルトの CA オーバーライドを指定します。
2024 年 1 月 26 日以降 – 新しいデータベースインスタンスは、rds-ca-rsa2048-g1 証明書を使用するようデフォルト設定されます。新しいインスタンスのために別の証明書を使用することを希望する場合は、AWS コンソールまたは AWS CLI を使用して、どの証明書を使用するかを指定できます。詳細については、create-db-instance API ドキュメントを参照してください。
データベースインスタンスを作成する予定もないですし、急いで変更しなくていいかな。
デフォルトが勝手に切り替わってくれるならそれでいいな。
そして、迎えた2024/1/26
この記事を書いているのは2/1
いまだにデフォルトはrds-ca-2019のまま
データベース新規作成から
時差なのか、明示的に更新をしないといけないのか。
結局、手動でデフォルトの認証機関を更新することに
https://dev.classmethod.jp/articles/rds-modify-default-certificates/
こちらの記事を参考にさせていただきました。
AWS CLIでデフォルトの設定を確認
aws rds describe-certificates --region <region name>
〜省略
],
"DefaultCertificateForNewLaunches": "rds-ca-2019"
}
(AWS CLIの結果から抜ける場合は「q」を入力します。)
デフォルトはやはりrds-ca-2019となっています。
仕方ないので更新してみます。
デフォルトをrds-ca-rsa2048-g1に変えたいので、
aws rds modify-certificates \
--certificate-identifier rds-ca-rsa2048-g1 \
--region <region name>
もう一度、AWS CLIで確認
aws rds describe-certificates --region <region name>
],
"DefaultCertificateForNewLaunches": "rds-ca-rsa2048-g1"
}
先ほどと表記が変わっていました。
念の為、データベース新規作成時の認証機関を確認。
無事にデフォルトが変わっていました。
そのうちデフォルトも切り替わっているのかもしれませんが、デフォルトが古い認証機関のままインスタンスが作成されてしまうことを避けたい場合は忘れる前に手動で更新しておいたほうが良いですね。