2024年8月22日にAmazon RDSのCA証明書(rds-ca-2019)が期限切れとなり、新しい証明書(rds-ca-rsa2048-g1)への更新対応が必要となります。
利用しているAWSアカウント内に、有効期限が切れる証明書を使用しているAmazon RDSやAmazon Auroraデータベースが存在する場合、以下タイトルのメールにて通知が届いているとのことです。
[アクションが必要です] 2024 年 8 月 22 日までに Amazon RDS と Amazon Aurora SSL/TLS 証明書を更新してください | [Action required] Update Your Amazon RDS and Amazon Aurora SSL/TLS Certificates by August 22, 2024 [AWS Account: xxxxxxxxxxxx]
本記事では、AWSコンソールでのAmazon RDSの証明書更新方法について記載します。
概要
2024年8月22日にAmazon RDSのCA証明書(rds-ca-2019)が期限切れとなり、新しい証明書(rds-ca-rsa2048-g1)への更新対応が必要となります。
2024 年1月25日以降に別のCAを明示的に指定せずに作成されたRDSインスタンスについては、新しい証明書(rds-ca-rsa2048-g1)を使用していますが、それ以前に作成されたDBインスタンスについては手動で更新対応をする必要があります。
2024年8月22日以降はおそらくRDS作成時や変更時に「rds-ca-2019」が選択できなくなりますので、早めに対応されることを推奨します。
また、DBクライアントからDBインスタンスへSSL/TLS通信を行っている、かつ接続の際にCA証明書の検証が必要な場合は、DBクライアント側での証明書更新を事前にすることが必要です。
事前にクライアント側での証明書更新がされていない場合、DBインスタンスの証明書更新後にSSL/TLS通信ができなくなってしまいますのでご注意ください。
証明書更新手順
AWSのRDSコンソールにて、証明書を更新する手順について記載します。
今回は期限切れとなる「rds-ca-2019」を使用しているDBインスタンスの証明書を「rds-ca-rsa2048-g1」へ更新する手順となります。
事前確認
証明書更新対応の前の確認事項について記載します。
確認する点は以下2点です。
1. 更新対象のDBインスタンス
2. 更新の際に再起動が発生するかどうかの確認
更新時のAWSコンソールにログイン後、Amazon RDSコンソールへ移動して左ペインより[証明書の更新]をクリックします。
「証明書の更新が必要なデータベース」の一覧にて、更新対応が必要なRDSインスタンスが表示されているので、対象のインスタンスを確認します。
また、「再起動が必要です」の項目を確認し、[あり]と記載されている場合は証明書更新時に再起動が発生するため、更新作業の際は事前に調整が必要です。
更新対応手順
DBインスタンスの証明書更新手順について、記載します。
RDSインスタンスの詳細画面にて[変更]をクリックします。
インスタンス変更画面にて、[接続]>[認証機関]にて証明書を「rds-ca-rsa2048-g1」に変更し[続行]をクリックします。
変更の確認画面にて、変更内容を確認します。「変更のスケジュール」にて[すぐに適用]を選択し、[DB インスタンスを変更]をクリックして更新を実行します。
※「次回の定期メンテナンス期間中に適用」を選択した場合、メンテナンスウィンドウにて設定している週1回のメンテナンス期間時に変更が適用されます。
更新確認
インスタンスのステータスが[変更中]から[利用可能]となることが確認出来たら更新完了となります。
また、インスタンスの詳細画面の[接続とセキュリティ]タブより、認証機関が「rds-ca-rsa2048-g1」となっていることが確認できます。
以上でDBインスタンス側の証明書更新手順は以上となります。
まとめ
本記事では、Amazon RDSのCA証明書「rds-ca-2019」の期限切れに伴うDBインスタンスの証明書更新手順について記載しました。
2024年8月以降は変更後の切り戻しができなくなると思われるため、証明書更新によって影響が出る場合は早めに対応されることを推奨します。
また、DBクライアントからSSL/TLS通信を行っている場合はDBクライアント側での証明書更新対応も必要となりますので、対応の際は確認してみてください。