Amazon Relational Database Service (RDS)/Amazon Aurora SSL/TLS証明書アップデートのQ&A

AWS運用自動化サービス「Cloud Automator」
技術5課の水本です。
 
既にご存じ、または対応方法について調べていらっしゃる方も多いと思いますが、
Amazon Relational Database Service (以下、RDS)およびAmazon Aurora(以下、Aurora)で提供されているSSL/TLS証明書が2020年3月に有効期限を迎えるため、
 
強制アップデートまで残り1ヶ月を切り、お客様のからの問い合わせが増えてきましたので、この記事ではよくある質問をまとめました。
更新手順も掲載していますので、アップデート計画の参考にしてください。
 

Q1.このお知らせは何ですか?

Amazon RDSおよびAmazon Auroraで提供されているSSL/TLS証明書の有効期限が終了する為、AWSが新たに提供する証明書に手動でアップデート(更新)するよう、ご案内しています。

Q2.SSL/TLSを使用していない環境です。今回の対象から外れますか?

RDSまたはAuroraをご利用であれば例外なく確認いただく必要があります。RDSマネジメントコンソールで確認できる、「認証機関がrds-ca-2015の全インスタンス」に対して、作業実施の計画を立ててください。
 
※RDSマネジメントコンソールに「Certificate update」というページが出来ており、そちらに表示されている情報でも確認が可能です。

Q3.停止は必要ですか?

特定条件のみ、停止を回避する手順で実施可能です。
 
特定条件=SSL/TLS接続を使用していない、かつAWS CLIにてRDSの設定変更が可能な環境がある
 
もし上記に合致しない場合は、インスタンスの再起動を回避できない為、必ず短い停止時間が発生します。
 

Q4.停止時間はどれくらいですか?

再起動処理にかかる時間であり、通常2分以内です。

Q5.証明書をアップデートしないとどうなりますか?

2020年2月5日〜3月5日の間で、AWSが任意にアップデート日を設定します。アップデート時にインスタンスは再起動されるため、予定外の接続断が発生します。
また、SSL/TLS接続を利用している環境の場合は、アップデート後から接続が確立できません。

Q6.停止について理解しました。アップデート手順を教えてください。

1.【SSL/TLS接続を利用している場合のみ】RDS/Aurora以外の作業対象を確認する

AWSから現在使用しているルート証明書/中間証明書の最新バージョンを入手して、適用します。(適用の要否、対象などは構築担当者に確認しましょう。)

2.接続しているアプリケーションを停止する

証明書のアップデート時には接続が切れてしまう為、接続しているアプリケーション(サーバ、クライアント)は停止しましょう。

3.RDSのマネジメントコンソールから設定変更する

証明書をアップデートしたいインスタンスを選択し、変更をクリックします。

「認証機関」の値を、rds-ca-2019に変更し、次へをクリックします。(画像は変更前の値です。)

「変更のスケジュール」で、すぐに適用を選択し、DBインスタンスの変更をクリックします。

4.結果の確認

インスタンスが再起動され、設定値がrds-ca-2019になったことを確認します。

5.動作確認

停止していたアプリケーションを起動して、動作の確認をしましょう。万一不具合が発生した場合は、同様の手順でrds-ca-2015に戻してください。

Q7.複数台を順番に実施したいのですが、可能ですか?停止時間については理解しています。

停止時間に問題がなければ、Certificate updateページを利用して、順番にアップデートを行うことが可能です。
アップデート対象インスタンスが一覧表示されますので、実施したいインスタンスを選択して今すぐ更新をクリックすると、Q6の手順をワンボタンで行えます。

Q8.Q3の特定条件に合致します。停止しない手順を教えてください。

まず、AWS CLIをV1またはV2の最新バージョンに更新してください。(最近提供されたオプションコマンドを利用する為)
 
次に、下記のCLIコマンドをコピーし、インスタンス名称をアップデート対象のインスタンス名に変更して、実施してください。
※コマンドが長いので注意してください。最後のrestartまでコピーします。

 
コマンドが正しく、インスタンス名称に間違いがなければ、処理結果が返ってきますので、RDSマネジメントコンソールで証明書が変更されていることを確認してください。
(「Certificate update」のページで対象として表示されなくなれば完了です。)

Q9.証明書をアップデートする前に取得したスナップショットがあります。問題は発生しますか?

問題はありません。スナップショットから復元したインスタンスは、自動的に新しい証明書を使用します。


 
以上、RDS/Auroraの証明書に関するQ&Aでした。
 
参考リンク
AWS運用自動化サービス「Cloud Automator」