はじめに

2023/08末頃、Amazon Web ServiceよりSSL/TLS CA 証明書(rds-ca-2019)を利用するAmazon RDSのデータベースに対してアクションを実行してくださいと通知されました。
今回はAWS Management Consoleによる更新対応方法について確認していきます。

対応方法

適切な権限を持ったIAMユーザーにてAWS Management Consoleへログイン後、ページ左側上部にある検索にRDSと入力し、サービスに表示されたRDSを選択しページを遷移します。

遷移先のページ左側にある証明書の更新を選択します。

遷移先のページで証明書を更新するDB 識別子を選択後、Apply update nowを選択します。

今回は再起動の発生しないrds-ca-2019-test02の更新を行います。

表示されたポップアップで利用したい認証機関(CA)の証明書を選択し、確認を選択します。

今回はrds-ca-rsa4096-g1を選択しました。

数分待ったあと、ページを更新し証明書の更新が必要なデータベースにrds-ca-2019-test02が表示されていないことを確認します。


終わりに

今回は再起動の発生しないデータベースを対象とした、AWS Management ConsoleによるSSL/TLS CA 証明書の更新を行いました。

Amazon RDS for MySQLの場合、証明書はrds-ca-rsa4096-g1以外にもrds-ca-rsa2048-g1とrds-ca-ecc384-g1を利用できますが、rds-ca-rsa4096-g1とrds-ca-ecc384-g1はrds-ca-2019で利用されていた秘密鍵のアルゴリズムと異なります。

クライアントやアプリケーション等で非対応となっている可能性もあるため、SSL/TLS接続を利用されている場合は対応しているかどうか必ず事前調査を行いましょう。

また、rds-ca-2019と同等のアルゴリズム(RSA2048)を利用されたい場合は、rds-ca-rsa2048-g1に変更することを推奨します。