メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

SSL を使用した DB インスタンスへの接続の暗号化

アプリケーションから SSL を使用して、MySQL、MariaDB、Amazon Aurora、SQL Server、Oracle、PostgreSQL を実行する DB インスタンスへの接続を暗号化できます。各 DB エンジンには SSL を実装する独自のプロセスがあります。ご使用の DB インスタンスでの SSL の実装方法については、ご使用の DB エンジンに該当するリンクを以下から選択してください。

すべてのリージョンで使用できるルート証明書は、 https://s3.amazonaws.com/rds-downloads/rds-ca-2015-root.pem からダウンロードできます。これは信頼されたルートエンティティであり、ほとんどの場合は使用できますが、アプリケーションが証明書チェーンを受け入れていない場合は使用できない可能性があります。アプリケーションで証明書チェーンが受け入れられない場合は、このセクションで後述する中間証明書リストからリージョン固有の証明書をダウンロードします。

古いルート証明書と新しいルート証明書の両方を含む証明書バンドルは、https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem からダウンロードできます。

アプリケーションが Microsoft Windows プラットフォームにあり、PKCS7 ファイルを必要とする場合、古い証明書と新しい証明書の両方を含む PKCS7 証明書バンドルは、https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b からダウンロードできます。

中間証明書

リージョンに接続するために中間証明書を使用することが必要になる場合があります。 たとえば、SSL を使用して AWS GovCloud (米国) リージョンに接続するために、中間証明書を使用する必要があります。 特定リージョンの中間証明書が必要な場合は、以下のリストから証明書をダウンロードします。

アジアパシフィック (ムンバイ)

アジアパシフィック (東京)

アジアパシフィック (ソウル)

アジアパシフィック (シンガポール)

アジアパシフィック (シドニー)

欧州 (フランクフルト)

欧州 (アイルランド)

南米 (サンパウロ)

米国東部(バージニア北部)

米国東部 (オハイオ)

米国西部 (北カリフォルニア)

米国西部 (オレゴン)

中国 (北京)

AWS GovCloud (US) (CA-2012、CA-2017 については下記を参照)

GovCloud (US) SSL 証明書 2017

接続を維持するには、クライアントまたはアプリケーションで RDS に接続するために使用している CA-2012 SSL 証明書を 2017 年 8 月 15 日、午後 8 時 (UTC) までに更新する必要があります。以下の手順に従ってください:

  1. 新しい AWS GovCloud Intermediate SSL certificate bundle をダウンロードします。

  2. 前の手順でダウンロードした新しい証明書を使用して、ダウンロードページの次の手順に従ってデータベースクライアントまたはアプリケーションを更新します。このアクションは、クライアントあるいはアプリケーションの設定に固有です。

AWS マネジメントコンソールで RDS インスタンスの変更オペレーション (または ModifyDBInstance API) を使用して、認証機関 (CA) を rds-ca-2012 から rds-ca-2017 に変更し、[すぐに適用] をクリックします。このオペレーションで RDS インスタンスの SSL 証明書が更新され、新しい証明書を有効にするための再起動オペレーションが開始されます。この再起動オペレーションの所要時間は通常 2 分未満です。データベースのテーブル数が多いなど、状況によっては再起動が長引く場合もあります。詳細については、「Amazon RDS のベストプラクティス」を参照してください。

このページの内容: