SSL 接続用 ACM 証明書への移行 - Amazon Redshift

SSL 接続用 ACM 証明書への移行

Amazon Redshift では、現在クラスターの SSL 証明書をAWS Certificate Manager (ACM)」発行の証明書に置き換えています。ACM は、現在のほとんどのシステムで信頼されている信頼のある公開認証機関 (CA) です。引き続き SSL でクラスターに接続するには、現在の信頼ルート CA 証明書を更新する必要があります。

この変更は、以下のすべてに該当する場合のみ適用されます。

  • sslMode 接続オプションを requireverify-ca、または verify-full 設定オプションに指定して、SQL クライアントまたはアプリケーションから Amazon Redshift クラスターに SSL 接続されている。

  • Amazon Redshift ODBC または JDBC ドライバーを使用していない、または ODBC バージョン 1.3.7.1000 または JDBC バージョン 1.2.8.1005 より前の Amazon Redshift ドライバーを使用している。

この変更が商用 Amazon Redshift リージョンに影響する場合は、現在の信頼ルート CA 証明書を 2017 年 10 月 23 日までに更新する必要があります。Amazon Redshift は、お客様のクラスターを 2017 年 10 月 23 日までに順次 ACM 証明書に切り替えていきます。この変更によるお客様のクラスターのパフォーマンスまたはアベイラビリティーへの影響はほとんどありません。

AWS GovCloud (US) (米国)リージョンのお客様が、この変更により影響を受ける場合には、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2020 年 4 月 1 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

重要

2021 年 1 月 5 日、中国リージョンにおいて、Amazon Redshift の クラスター用の SSL 証明書が、AWS Certificate Manager(ACM) 発行の証明書に置き換えられました。この変更が中国 (北京) リージョンまたは中国 (寧夏) リージョンに影響する場合は、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2021 年 1 月 5 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼できる認定権限 (CA) が必要です。クライアントは、信頼できる認定権限を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する

最新の Amazon Redshift の ODBC ドライバーまたは JDBC ドライバーを使用することが推奨されています。ODBC バージョン 1.3.7.1000 および JDBC バージョン 1.2.8.1005 以前の Amazon Redshift ドライバーは、自動的に Amazon Redshift の自己署名証明書から ACM 証明書に移行されます。最新のドライバーをダウンロードする方法は、「ODBC 接続の設定」または「Amazon Redshift での JDBC ドライバーのバージョン 2.1 による接続の構成」を参照してください。

最新の Amazon Redshift JDBC ドライバーを使用する場合は、JVM オプションの -Djavax.net.ssl.trustStore を使用しないことをお勧めします。-Djavax.net.ssl.trustStoreを使用する必要がある場合は、Redshift の認定権限バンドルを指定のトラストストアにインポートします。ダウンロード情報については、「SSL を使用して接続する」を参照してください。詳細については、「Amazon Redshift の認定権限バンドルを TrustStore にインポートする」を参照してください。

旧 Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用する

  • ODBC DSN が SSLCertPath を使用して設定されている場合は、指定されたパスの証明書ファイルに上書きします。

  • SSLCertPath が設定されていない場合は、ドライバーの DLL の位置にある証明書ファイル (root.crt) に上書きします。

バージョン 1.2.8.1005 より前の Amazon Redshift JDBC ドライバーを使用する必要がある場合は、以下のいずれかを行います。

Amazon Redshift の認定権限バンドルを TrustStore にインポートする

Amazon Redshift の認定権限バンドルの CA 証明書を Java TrustStore またはプライベート信頼ストアにインポートするには、redshift-keytool.jar を使用します。

Amazon Redshift の認定権限バンドルを TrustStore にインポートするには
  1. redshift-keytool.jar をダウンロードします。

  2. 次のいずれかを行ってください。

    • Amazon Redshift の認定権限バンドルを Java TrustStore にインポートするには、次のコマンドを実行します。

      java -jar redshift-keytool.jar -s
    • Amazon Redshift の認定権限バンドルをプライベート TrustStore にインポートするには、次のコマンドを実行します。

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

その他の SSL 接続タイプを使用する

次のいずれかを使用して接続している場合は、このセクションの手順に従います。

  • オープンソースの ODBC ドライバー

  • オープンソースの JDBC ドライバー

  • Amazon Redshift RSQL コマンドラインインターフェイス

  • libpq に基づく言語バインディング (例: psycopg2 (Python)、ruby-pg (Ruby))

その他の SSL 接続タイプで ACM 証明書を使用するには
  1. Amazon Redshift の認定権限バンドルをダウンロードします。ダウンロード情報については、「SSL を使用して接続する」を参照してください。

  2. バンドルの証明書を root.crt ファイルに追加します。

    • Linux および macOS X オペレーティングシステムでは、ファイルは ~/.postgresql/root.crt です。

    • Microsoft Windows では、ファイルは %APPDATA%\postgresql\root.crt です。