Amazon Relational Database Service
ユーザーガイド

SSL/TLS 証明書の更新

注記

Secure Socket Layer (SSL) または Transport Layer Security (TLS) を使用してアプリケーションが RDS DB インスタンスに接続する場合は、2020 年 3 月 5 日以前に 以下の手順を実行する必要があります。 これにより、アプリケーションと RDS DB インスタンスとの接続の中断を回避することができます。

2019 年 9 月 19 日より、Amazon RDS は SSL/TLS を使用して RDS DB インスタンスに接続するために新しい認証機関 (CA) 証明書を発行しています。AWS セキュリティのベストプラクティスとして、これらの新しい CA 証明書を提供しています。新しい証明書およびサポートしている AWS リージョンに関する詳細は、「SSL/TLS を使用した DB インスタンスへの接続の暗号化」をご参照ください。

現在の CA 証明書は、2020 年 3 月 5 日に期限切れになります。そのため、有効期限の最後の日に中断しないように、できるだけ早い時期に (遅くとも 2020 年 2 月 5 日までに) この変更を完了することを推奨します。変更を完了しない場合は、2020 年 3 月 5 日以降はアプリケーションが SSL/TLS を使用して RDS DB インスタンスに接続できません。

本番稼働環境に移行する前に、開発とステージング環境で以下に示すステップをテストすることをお勧めします。

新しい CA 証明書を使用するように DB インスタンスを更新する前に、RDS データベースに接続するクライアントまたはアプリケーションを必ず更新します。

2019 年 11 月 1 日以降に作成された新しい RDS DB インスタンスは、デフォルトにより新しい証明書を使用します。古い (rds-ca-2015) 証明書を使用するように新しい DB インスタンスを手動で一時的に変更するには、AWS マネジメントコンソール または AWS CLI を使用して実行できます。2019 年 11 月 1 日以前に作成されたすべての DB インスタンスは、rds-ca-2019 証明書に更新するまで rds-ca-2015 証明書を使用します。

CA 証明書を更新する

CA 証明書を更新するには、以下のステップを完了します。

CA 証明書を更新するには

  1. SSL/TLS を使用した DB インスタンスへの接続の暗号化 から 新しい SSL/TLS 証明書をダウンロードします。

  2. 新しい SSL/TLS 証明書を使用するには、データベースのアプリケーションを更新します。

    注記

    証明書バンドルには古い CA と新しい CA の両方の証明書が含まれます。そのため、アプリケーションを安全に更新し、移行期間に接続を維持することができます。

  3. CA を rds-ca-2015 から rds-ca-2019 に変更するには、DB インスタンスを変更します。

    重要

    このオペレーションにより、DB インスタンスが再起動します。デフォルトで、このオペレーションは次のメンテナンスウィンドウの間に実行するようスケジュールされています。または、直ちに実行することもできます。

AWS マネジメントコンソール または AWS CLI を使用して、DB インスタンスに CA 証明書を rds-ca-2015 から rds-ca-2019 に変更できます。

コンソール

DB インスタンスに CA を rds-ca-2015 から rds-ca-2019 に変更するには

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. ナビゲーションペインで、[データベース] を選択し、変更する DB インスタンスを選択します。

  3. [Modify] を選択します。

    
                                        Modify DB instance

    [Modify DB Instance] ページが表示されます。

  4. ネットワークセキュリティ セクションで、rds-ca-2019 を選択します。

    
                                        CA 証明書の選択
  5. [Continue] を選択して、変更の概要を確認します。

  6. 変更をすぐに反映させるには、[Apply immediately] を選択します。このオプションを選択すると停止します。

  7. 確認ページで、変更内容を確認します。正しい場合は、[Modify DB Instance] を選択して変更を保存します。

    重要

    このオペレーションをスケジュールする場合は、必ずクライアント側の信頼ストアを事前に更新します。

    または、[戻る] を選択して変更を編集するか、[キャンセル] を選択して変更をキャンセルします。

AWS CLI

AWS CLI を使用して、DB インスタンスの CA を rds-ca-2015 から rds-ca-2019 に変更するには、modify-db-instance コマンドを呼び出します。DB インスタンス識別子および --ca-certificate-identifier オプションを指定します。

重要

このオペレーションをスケジュールする場合は、必ずクライアント側の信頼ストアを事前に更新します。

CA 証明書を rds-ca-2019 に設定することにより、以下のコードで mydbinstance を変更します。変更は、--no-apply-immediately を使用して次のメンテナンスウィンドウ中に適用されます。今すぐ変更を適用するには、--apply-immediately を使用します。このオプションを選択すると停止します。

Linux、OS X、Unix の場合:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --ca-certificate-identifier rds-ca-2019 \ --no-apply-immediately

Windows の場合:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --ca-certificate-identifier rds-ca-2019 ^ --no-apply-immediately

CA 証明書の更新を元に戻す

AWS マネジメントコンソール または AWS CLI を使用して、DB インスタンスの以前の CA 証明書の更新を元に戻すことができます。

コンソール

DB インスタンスの以前の CA 証明書の更新を元に戻すには

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. ナビゲーションペインで、[データベース] を選択し、変更する DB インスタンスを選択します。

  3. [Modify] を選択します。

    
                                        Modify DB instance

    [Modify DB Instance] ページが表示されます。

  4. ネットワークセキュリティ セクションで、rds-ca-2015 を選択します。

    
                                        CA 証明書の選択
  5. [Continue] を選択して、変更の概要を確認します。

  6. 変更をすぐに反映させるには、[Apply immediately] を選択します。このオプションを選択すると停止します。

  7. 確認ページで、変更内容を確認します。正しい場合は、[Modify DB Instance] を選択して変更を保存します。

    重要

    このオペレーションをスケジュールする場合は、必ずクライアント側の信頼ストアを事前に更新します。

    または、[戻る] を選択して変更を編集するか、[キャンセル] を選択して変更をキャンセルします。

AWS CLI

DB インスタンスに以前の CA 証明書に戻すには、modify-db-instance コマンドを呼び出します。DB インスタンス識別子および --ca-certificate-identifier オプションを指定します。

重要

このオペレーションをスケジュールする場合は、必ずクライアント側の信頼ストアを事前に更新します。

CA 証明書を rds-ca-2015 に設定することにより、以下のコードで mydbinstance を変更します。変更は、--no-apply-immediately を使用して次のメンテナンスウィンドウ中に適用されます。今すぐ変更を適用するには、--apply-immediately を使用します。このオプションを選択すると停止します。

Linux、OS X、Unix の場合:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --ca-certificate-identifier rds-ca-2015 \ --no-apply-immediately

Windows の場合:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --ca-certificate-identifier rds-ca-2015 ^ --no-apply-immediately