Amazon Relational Database Service (RDS)/Amazon Aurora SSL/TLS証明書アップデートのQ&A

AWS運用自動化サービス「Cloud Automator」
技術3課の水本です。
 
既にご存じ、または対応方法について調べていらっしゃる方も多いと思いますが、
Amazon Relational Database Service (以下、RDS)およびAmazon Aurora(以下、Aurora)で提供されているSSL/TLS証明書が2020年3月に有効期限を迎えるため、
 
強制アップデートまで残りわずかとなりました。
この記事ではこれまで寄せられたお問い合わせや、更新手順も掲載していますので、アップデート計画の参考にしてください。
 
※AWS側で実施する強制アップデートの仕様が変わり、インスタンスの再起動はされなくなりました。
その為、SSL/TLS接続を利用していない&AWS側の作業予定で問題ないお客様は、計画が不要になりましたが、新しい証明書はインスタンスを再起動するまで利用できません。
 

Q1.このお知らせは何ですか?

Amazon RDSおよびAmazon Auroraで提供されているSSL/TLS証明書の有効期限が終了する為、AWSが新たに提供する証明書に手動でアップデート(更新)するよう、ご案内しています。

Q2.SSL/TLSを使用していない環境です。今回の対象から外れますか?

RDSまたはAuroraをご利用であれば例外なく確認いただく必要がありますが、計画の必要はございません。AWSが自動的に証明書を置き換えます。
 
尚、IAMデータベース認証はSSL接続ですので、今回の対象になります。
 
※対象のインスタンスはRDSマネジメントコンソールに「Certificate update」というページが出来ており、そちらに表示されている情報でも確認が可能です。

Q3.停止は必要ですか?

SSL/TLS接続を利用していないお客様は不要です。
SSL/TLSを利用しているお客様で、ご自身で更新を実施される場合は、更新の際にインスタンスの再起動が自動で行われるため、短い停止時間が発生します。

Q4.停止時間はどれくらいですか?

再起動処理にかかる時間であり、通常2分以内です。

Q5.証明書をアップデートしないとどうなりますか?

2020年2月5日〜3月5日の間で、AWSが任意にアップデート日を設定し、証明書を置き換えます。ただし、インスタンスの再起動は致しません。
SSL/TLS接続を利用していないお客様は、特に対応は不要です。
SSL/TLS接続を利用しているお客様は、インスタンスの再起動と、アプリケーション側の証明書の更新をするまで、データベースへの接続ができません。

Q6.手動で実施したいので、アップデート手順を教えてください。

1.【SSL/TLS接続を利用している場合のみ】アプリケーション側の作業対象を確認する

アプリケーションサーバ、または独自クライアントに内包している証明書を、AWSから入手して、更新します。
現在使用しているルート証明書/中間証明書の最新バージョンを入手して適用しましょう。(適用の要否、対象などは構築担当者に確認しましょう。)

2.接続しているアプリケーションを停止する

証明書のアップデート時には接続が切れてしまう為、接続しているアプリケーション(サーバ、クライアント)は停止しましょう。

3.RDSのマネジメントコンソールから設定変更する

証明書をアップデートしたいインスタンスを選択し、変更をクリックします。

「認証機関」の値を、rds-ca-2019に変更し、次へをクリックします。(画像は変更前の値です。)

「変更のスケジュール」で、すぐに適用を選択し、DBインスタンスの変更をクリックします。

4.結果の確認

インスタンスが再起動され、設定値がrds-ca-2019になったことを確認します。

5.動作確認

停止していたアプリケーションを起動して、動作の確認をしましょう。万一不具合が発生した場合は、同様の手順でrds-ca-2015に戻してください。

Q7.複数台を順番に実施したいのですが、可能ですか?停止時間については理解しています。

停止時間に問題がなければ、Certificate updateページを利用して、順番にアップデートを行うことが可能です。
アップデート対象インスタンスが一覧表示されますので、実施したいインスタンスを選択して今すぐ更新をクリックすると、Q6の手順をワンボタンで行えます。

Q8.停止せず、且つ手動で更新したいのですが、方法はありますか。

AWS CLIでリソースの変更が可能なお客様のみですが、手順がございます。
 
まず、AWS CLIをV1またはV2の最新バージョンに更新してください。(最近提供されたオプションコマンドを利用する為)
 
次に、下記のCLIコマンドをコピーし、インスタンス名称をアップデート対象のインスタンス名に変更して、実施してください。
※コマンドが長いので注意してください。最後のrestartまでコピーします。

 
コマンドが正しく、インスタンス名称に間違いがなければ、処理結果が返ってきますので、RDSマネジメントコンソールで証明書が変更されていることを確認してください。
(「Certificate update」のページで対象として表示されなくなれば完了です。)

Q9.証明書をアップデートする前に取得したスナップショットがあります。問題は発生しますか?

問題はありません。スナップショットから復元したインスタンスは、自動的に新しい証明書を使用します。


 
以上、RDS/Auroraの証明書に関するQ&Aでした。
 
参考リンク
AWS運用自動化サービス「Cloud Automator」