Update Your Amazon RDS SSL/TLS Certificates by October 31, 2019

2019/10/17 추가

AWS Blog에 이 문제에 대한 기사가 추가되었습니다.
Amazon Relational Database Service(RDS) 및 Amazon Aurora용 SSL/TLS 인증서 업데이트 정보
htps : // 아 ws. 아마존. 코 m / jp / b ぉ gs / 네 ws / 아마 존 - rds - r 치후 카테 - 로타리 온 - 2019 /

AWS에서 위 이메일을 받았습니까?

RDS (Aurora 포함)를 사용하는 계정에 대한 SSL/TLS 연결에 필요한 CA 인증서 업데이트 정보
순차 안내가 도착한 것 같습니다.
현재의 증명서는 2020년 3월 5일에 만료되기 때문에, 늦어도 2020년 2월 5일까지 대응이 필요합니다.
대응에는 다운타임을 수반합니다.

2019년 10월 31일까지 대응이 필요?

앞서 언급했듯이 현재 인증 기관(rds-ca-2015)의 인증서는 2020년 3월 5일에 만료됩니다.
2019년 11월 1일 이전에 생성된 DB 인스턴스는 사용자가 명시적으로 변경할 때까지
오래된 인증 기관을 계속 사용하지만 2020년 2월 5일 이후에 강제 업데이트가 진행될 예정입니다.
그렇지 않으면 이전 SSL/TLS 인증서를 사용한 DB 인스턴스 연결이 실패합니다.
또한 애플리케이션이 SSL 또는 TLS를 사용하여 DB 연결을 사용하지 않는 경우에도 2월 5일 이후
강제 업데이트에 유지 보수의 영향을 받습니다.
문서상은 유효기간의 혼란을 피하기 위해 가능한 한 빨리(2020년 2월 5일까지)
이 대응을 완료하는 것이 좋습니다.

또한 2019년 11월 1일 이후에 생성되는 인스턴스는 기본적으로 새 인증 기관(rds-ca-2019)을
사용하도록 구성될 예정이었지만 연기된 것 같습니다.
새 인증 기관을 사용해도 응용 프로그램 쪽 루트 서명서가 오래된 상태이면 연결이 실패합니다.

또 새로운 인증국을 이용하도록 작성/변경한 인스턴스에서도 설정 변경으로
일시적으로 이전 인증 기관(rds-ca-2015)으로 되돌아가 마이그레이션을 확인할 수 있습니다.

변경 절차

공식적인 절차는 아래 문서를 참조하십시오.
프로덕션 환경을 변경하기 전에 개발 환경 또는 스테이징 환경에서 테스트를 수행합니다.

Rotating Your SSL/TLS Certificate
htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / 아마 존 RDS / 아 st / 우세 r 구이 데 / 우신 구 th RDS. s L - r chifukate-ro 들. HTML

다음 문서에서 새 SSL/TLS 인증서를 다운로드합니다.
Using SSL/TLS to Encrypt a Connection to a DB Instance
htps : // / cs. 아 ws. 아마존. 코 m/아마죤 RDS/ㅁ st/우세르구이데/우신구ぃthRDS. sL. HTML

응용 프로그램 측에서 새 인증서를 사용하도록 업데이트
인증서 번들 (rds-combined-ca-bundle.pem)을 사용하는 경우 이전 CA와 새 CA
두 인증서가 모두 포함되어 있기 때문에 DB 인스턴스 측 변경 전에도 연결이 가능합니다

DB 인스턴스를 변경하여 인증 기관을 rds-ca-2015에서 rds-ca-2019로 변경
이 작업은 DB 인스턴스를 다시 시작합니다

연결 실패를 방지하려면 RDS 측 변경은 항상 2단계(클라이언트 측 변경)가 완료된 후 수행해야 합니다.

네트워크 및 보안 섹션에서 변경할 수 있습니다.


기본적으로 다음 유지 보수 시간 동안 실행되도록 예약되지만,
즉시 실행할 수 있습니다.


이상입니다.
도움이되면 다행입니다.