Amazon RDSのSSL/TLS 証明書の更新について
こんにちは。kkinjoです。
AWSから案内が出ている RDSの SSL/TLSの証明書の更新はお済でしょうか。
SSL/TLS 証明書の更新 – Amazon Relational Database Service
2020 年 1 月 14 日以前 に作成されたRDSインスタンスは 古い証明書(rds-ca-2015) が適応されています。
この古い証明書の有効期限が 2020 年 3 月 5 日までとなるため
RDS側で証明書の強制アップデートが行われます。
それまでに新しい証明書の設定が行われていないアプリケーションからの
SSL/TLS接続がエラーとなります。(SSL/TLSを利用しないDB接続は可能です)
そのためRDSとのSSL/TLS接続を行っている場合は、DBのクライアントアプリケーション側の設定とRDSインスタンスの証明書を更新し接続が取れるようにしておきましょう。
クライアントアプリケーション設定する証明書は下記からダウンロード可能です。
SSL/TLS を使用した DB インスタンスへの接続の暗号化 – Amazon Relational Database Service
クライアントアプリケーション側の設定は様々かと思いますが、私のテスト環境のphpmyadminは下記のような感じでSSL接続できました。
# wget https://s3.amazonaws.com/rds-downloads/rds-ca-2019-ap-northeast-1.pem # wget https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem # cat rds-ca-2019-ap-northeast-1.pem rds-ca-2019-root.pem > rds.pem # vi config.inc.php ---------- ---------- ---------- ---------- ---------- $cfg['Servers'][$i]['host'] = 'RDSエンドポイント'; $cfg['Servers'][$i]['compress'] = false; $cfg['Servers'][$i]['AllowNoPassword'] = false; $cfg['Servers'][$i]['ssl'] = true; $cfg['Servers'][$i]['ssl_ca'] = '/path/to/rds.pem'; $cfg['Servers'][$i]['ssl_verify'] = true; ---------- ---------- ---------- ---------- ----------
RDSインスタンス側の設定は 「SSL/TLS 証明書の更新」ページ に画像付きで変更方法が記載されています。設定画面から 認証機関の項目を[rds-ca-2015]から[rds-ca-2019]に変更するだけです。
反映の際にRDSの再起動が必要となりますので、注意しましょう。
