SSL 接続用 ACM 証明書への移行

Amazon Redshift では、クラスターの SSL 証明書を AWS Certificate Manager (ACM) 発行の証明書に置き換えています。ACM は、現在のほとんどのシステムで信頼されている信頼のある公開認証機関 (CA) です。引き続き SSL でクラスターに接続するには、現在の信頼ルート CA 証明書を更新する必要があります。

この変更は、以下のすべてに該当する場合のみ適用されます。

• Amazon Redshift接続オプションを、sslMode、require、verify-ca 設定オプションに設定して、SQL クライアントまたはアプリケーションが verify-full クラスターに SSL 接続されている。

• Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用していないか、ODBC バージョン 1.3.7.1000 または JDBC バージョン 1.2.8.1005 より前の Amazon Redshift ドライバーを使用している。

この変更が商用 Amazon Redshift リージョンに影響する場合は、2017 年 10 月 23 日より前に現在の信頼ルート CA 証明書を更新する必要があります。Amazon Redshift は、現在から 2017 年 10 月 23 日の間に ACM 証明書を使用するようにクラスターを移行します。この変更によるお客様のクラスターのパフォーマンスまたはアベイラビリティーへの影響はほとんどありません。

この変更が AWS GovCloud (米国) リージョンに影響する場合は、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2020 年 4 月 1 日より前に更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼された証明機関 (CA) が必要です。クライアントは、信頼された証明機関を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

重要

2021 年 1 月 5 中国リージョン 日の で、 Amazon Redshift はクラスターの SSL 証明書を AWS AWS Certificate Manager (ACM) 発行の証明書に置き換えます。この変更が 中国 (北京) リージョン または に影響する場合は中国 (寧夏) リージョン、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2021 年 1 月 5 日より前に更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼された証明機関 (CA) が必要です。クライアントは、信頼された証明機関を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

• 最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーの使用

• 以前の Amazon Redshift ODBCドライバーまたは JDBC ドライバーの使用

• その他の SSL 接続タイプを使用する

最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーの使用

推奨される方法は、最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用することです。ODBC バージョン 1.3.7.1000 および JDBC バージョン 1.2.8.1005 からの Amazon Redshift ドライバーは、Amazon Redshift 自己署名証明書から ACM 証明書への移行を自動的に管理します。最新のドライバーをダウンロードする方法は、「ODBC 接続の設定」または「JDBC ドライバーバージョン 1.0 接続の設定.」を参照してください。

最新の Amazon Redshift JDBC ドライバーを使用する場合は、JVM オプションの -Djavax.net.ssl.trustStore を使用しないことをお勧めします。を使用する必要がある場合は-Djavax.net.ssl.trustStore、Redshift の認証機関バンドルを、参照先の信頼ストアにインポートします。詳細については、「 」を参照してください。Amazon Redshift への認証機関バンドルのインポート TrustStore.

以前の Amazon Redshift ODBCドライバーまたは JDBC ドライバーの使用

バージョン 1.3.7.1000 より前の Amazon Redshift ODBC ドライバーを使用する必要がある場合は、Redshift の認証機関バンドルをダウンロードし、古い証明書ファイルを上書きします。

• ODBC DSN が SSLCertPath を使用して設定されている場合は、指定されたパスの証明書ファイルに上書きします。

• SSLCertPath が設定されていない場合は、ドライバーの DLL の位置にある証明書ファイル (root.crt) に上書きします。

バージョン 1.2.8.1005 より前の Amazon Redshift JDBC ドライバーを使用する必要がある場合は、次のいずれかの操作を行います。

• JDBC 接続文字列で sslCert オプションを使用している場合は、sslCert オプションを解除します。次に、Redshift の認証機関バンドルを Java にインポートTrustStoreします。 詳細については、「」を参照してくださいAmazon Redshift への認証機関バンドルのインポート TrustStore。

• Java コマンドラインの -Djavax.net.ssl.trustStore オプションを使用している場合は、可能であればコマンドラインから解除します。次に、Redshift の認証機関バンドルを Java にインポートTrustStoreします。 詳細については、「」Amazon Redshift への認証機関バンドルのインポート TrustStoreを参照してください。

Amazon Redshift への認証機関バンドルのインポート TrustStore

redshift-keytool.jar を使用してAmazon Redshift、認証機関バンドルの CA 証明書を Java TrustStore またはプライベート信頼ストアにインポートできます。

Amazon Redshift 認証機関バンドルを にインポートするには TrustStore

1. redshift-keytool.jar. をダウンロードします。

2. 次のいずれかを行ってください。

   • Amazon Redshift 認証機関バンドルを Java にインポートするにはTrustStore、次のコマンドを実行します。

     java -jar redshift-keytool.jar -s

   • Amazon Redshift 認証機関バンドルをプライベート にインポートするにはTrustStore、次のコマンドを実行します。

     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 

その他の SSL 接続タイプを使用する

次のいずれかを使用して接続している場合は、このセクションの手順に従います。

• オープンソースの ODBC ドライバー

• オープンソースの JDBC ドライバー

• psql コマンドラインインターフェイス

• libpq に基づく言語バインディング (例: psycopg2 (Python)、ruby-pg (Ruby))

その他の SSL 接続タイプで ACM 証明書を使用するには

1. Amazon Redshift 認証機関バンドル.をダウンロードします。

2. バンドルの証明書を root.crt ファイルに追加します。

   • Linux および macOS X オペレーティングシステムでは、ファイルは です~/.postgresql/root.crt。

   • Microsoft Windows では、ファイルは です。%APPDATA%\postgresql\root.crt.