[AWS] RDS SSL/TLS証明書の更新 rds-ca-2015からrds-ca-2019

環境AWS,セキュリティ

AWS から RDS の SSL/TLS 証明書を、 rds-ca-2015 から rds-ca-2019 に更新するようメールがきたので、証明書を更新した。その手順をメモ。

概要

Update Your Amazon RDS SSL/TLS Certificates by October 31, 2019 」というタイトルのメールがきた。

内容は以下のとおり。
(メールにきていた内容は、 SSL/TLS 証明書の更新 から確認できる。)

  • 2019/9/19 から新しい CA 証明書 rds-ca-2019 が発行されている
  • 現在の CA 証明書 rds-ca-2015 は、 2020/3/5 で期限切れとなるが、 2020/2/5 までに更新しておいたほうがいい
  • 2020/3/5 以降、古い証明書は無効となり、 SSL/TLS 通信で DB 接続できない
  • 2019/11/1 以降に作った RDS DB インスタンスは、新しい証明書になっている (けど、古い証明書に変更できて、証明書切り替えテストが行える)

メールに下記一文もあった。

Please act before October 31, 2019 to address an upcoming interruption of your applications using RDS and Aurora database instances.

2019/10/31 の前に(更新作業を)やらないと、DB とアプリの通信が中断する的なことが書いてあるけど。。。

Q: なぜ 2019 年 10 月 31 日までに CA 証明書をアップデートすることが推奨されているのですか?
当初の予定では 2019 年 11 月 1 日より、新規 DB インスタンスで新しい CA 証明書を使用する予定であったため、早期の対応を行っていただくために、2019 年 10 月 31 日までの対応をお勧めしておりました。
Amazon Web Services ブログ QA

(これって回答になってるの?)
すでに作られている DB との接続が、この日( 2019 年 11 月 1 日)から切れるということはない。

証明書の更新手順

これは SSL や TLS を使って DB アクセスしている場合に必要な作業となる。
SSL や TLS 通信していない DB インスタンスに対しては、この作業は不要だが、これから使うかもしれない場合、または上司に 「なんかメールきたから、やっておいて。」 と言われた場合には、手順 2 だけ行う。

手順1. クライアント側に設置する証明書(公開鍵)をダウンロードし、古い証明書と置き換える

  1. クライアント側に設置する証明書を下記リンクからダウンロードする。
    https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem (CA-2019)

    中間証明書込みな証明書が必要な場合
    https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem

  2. Web アプリケーションとか使っているクライアント側に pem ファイルが置いてあるので、今ダウンロードした新しい pem と、古いものを入れ替える。

手順2. RDS 側の証明書を更新

RDS 側の更新は、マネジメントコンソールと AWS CLI から行える。ここでは、マネジメントコンソールから更新する手順を記載する。

  1. RDS マネジメントコンソールから「データベース」を選択後、更新対象のデーターベースを選択し、「変更」をクリック。

    Amazon RDS コンソール
    Amazon RDS コンソール
  2. DB インスタンスの変更画面の ネットワーク & セキュリティ セクションの 認証機関 から rds-ca-2019 を選択。

    DB インスタンスの変更画面
    DB インスタンスの変更画面

    「クライアントアプリケーションの証明書を、新しいものに更新しいないと接続が中断されるかもしれない」という注意が表示される。

    rds-ca-2019 更新注意事項
    rds-ca-2019 更新注意事項
  3. 「次へ」クリック。

  4. 変更のスケジュール で すぐに適用 を選択し「 DB インスタンスの変更」をクリック。

    DB インスタンスの変更
    DB インスタンスの変更

    証明書を更新すると DB が再起動される。(稼働中の DB の場合は注意が必要)
    「次に予定されるメンテナンスウィンドウ中に適用します」を選択すると、次のメンテナンスで DB 再起動がかかる。


3 つの DB インスタンスの証明書を更新して、どれも再起動にかかった時間は 10 秒程度だった。

Posted by Agopeanuts