RDSのCA証明書を最新版の「rds-ca-2019」に更新する手順

AWS運用自動化サービス「Cloud Automator」

健康診断が明日なのにお腹を壊して体調があまり宜しくないCI部5課の山﨑です。

本日はRDSのCA証明書の更新手順を簡単にまとめてみました!

RDSのCA証明書の更新について

すでにAWS等から証明書の更新を促す通知が来ている方も多くいらっしゃるかと思いますが、改めてドキュメントの内容を確認します。

現在の CA 証明書は、2020 年 3 月 5 日に期限切れになります。そのため、有効期限の最後の日に中断しないように、できるだけ早い時期に (遅くとも 2020 年 2 月 5 日までに) この変更を完了することを推奨します。変更を完了しない場合は、2020 年 3 月 5 日以降はアプリケーションが SSL/TLS を使用して RDS DB インスタンスに接続できません。 SSL/TLS 証明書の更新

前提

  • CA証明書を使用したSSL/TLS通信でアプリケーションがRDSのDBに接続していないこと

仮にCA証明書を使用したSSL/TLS通信でアプリケーションがRDSのDBに接続している場合は、新しいSSL/TLS 証明書をダウンロードし、データベースのアプリケーションを更新する必要があります。 詳細は、下記ドキュメントのDB インスタンスの変更による CA 証明書の更新の手順の1つ目と2つ目をご確認ください。

SSL/TLS 証明書の更新

では、証明書を更新してみます

まずは、RDSのコンソール画面から証明書を更新したいRDSインスタンスを選択します。画像では旧バージョンのrds-ca-2015の状態です。

[変更]ボタンを押して編集画面に遷移し、ページをスクロールしていくと認証機関を選択することができるドロップダウンがありますので最新の「rds-ca-2019」を選択します。

ページ最下部の[次へ]ボタンをクリックすると確認画面が出てきますので、変更のスケジュールを「すぐに適用」を選択してインスタンスの変更をクリックします。「すぐに適用」を選択するとRDSの再起動が始まるため一時的なダウンタイムは発生しますが、再起動は通常2分以内に完了するので更新作業が正常に完了したかをすぐに確認することができます。

最後に更新ができているかを確認します。

更新作業は以上で完了です! 今回の検証では10秒程度で再起動が終了したので一瞬で完了しました!

不具合が発生したことでCA証明書の更新を元に戻したい場合は?

CA証明書の更新を元に戻す方法は、更新作業と同様の手順で行うことができます。

CA証明書の更新の際に選択した認証機関を「rds-ca-2015」に戻すだけです!

あとは先程と同様の手順を踏んで進めていくと・・・

これでCA証明書を元に戻すことができました!

期限間際に更新作業をして不具合が起こらないように早めに更新してしまいましょう!!

AWS運用自動化サービス「Cloud Automator」