SSL 接続用 ACM 証明書への移行 - Amazon Redshift

SSL 接続用 ACM 証明書への移行

Amazon Redshift では、クラスターの SSL 証明書を AWS Certificate Manager (ACM) 発行の証明書に置き換えています。ACM は、現在のほとんどのシステムで信頼されている信頼のある公開認証機関 (CA) です。引き続き SSL でクラスターに接続するには、現在の信頼ルート CA 証明書を更新する必要があります。

この変更は、以下のすべてに該当する場合のみ適用されます。

  • sslMode接続オプションを、requireverify-caverify-full 設定オプションに設定して、SQL クライアントまたはアプリケーションが Amazon Redshift クラスターに SSL 接続されている。

  • クラスターが、中国 (北京) リージョン、または中国 (寧夏) リージョンを除く AWS リージョンにある。

  • Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用していないか、ODBC バージョン 1.3.7.1000 または JDBC バージョン 1.2.8.1005 より前の Amazon Redshift ドライバーを使用している。

この変更が商用 Amazon Redshift リージョンに影響する場合は、2017 年 10 月 23 日より前に現在の信頼ルート CA 証明書を更新する必要があります。Amazon Redshift は、現在から 2017 年 10 月 23 日の間に ACM 証明書を使用するようにクラスターを移行します。この変更によるお客様のクラスターのパフォーマンスまたはアベイラビリティーへの影響はほとんどありません。

この変更が AWS GovCloud (米国)リージョンに影響する場合は、サービスの中断を避けるために、現在の信頼ルート CA 証明書を 2020 年 4 月 1 日までに更新する必要があります。この日付以降、SSL 暗号化接続を使用して Amazon Redshift クラスターに接続するクライアントには、追加の信頼された証明機関 (CA) が必要です。クライアントは、信頼された証明機関を使用して、クラスターに接続するときに Amazon Redshift クラスターの ID を確認します。SQL クライアントとアプリケーションを更新して、新しい信頼された CA を含む更新された証明書バンドルを使用するには、アクションが必要です。

現在の信頼ルート CA 証明書を更新するには、ユースケースを見極め、該当セクションの手順に従います。

最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーの使用

推奨される方法は、最新の Amazon Redshift ODBC ドライバーまたは JDBC ドライバーを使用することです。ODBC バージョン 1.3.7.1000 および JDBC バージョン 1.2.8.1005 からの Amazon Redshift ドライバーは、Amazon Redshift 自己署名証明書から ACM 証明書への移行を自動的に管理します。最新のドライバーをダウンロードする方法は、「ODBC 接続の設定」または「JDBC 接続の設定」を参照してください。

最新の Amazon Redshift JDBC ドライバーを使用する場合は、JVM オプションの -Djavax.net.ssl.trustStore を使用しないことをお勧めします。-Djavax.net.ssl.trustStore を使用する必要がある場合は、「Redshift の認証機関バンドル」を指定の信頼ストアにインポートしてください。詳細については、「Amazon Redshift 認証機関バンドルをトラストストアにインポートする」を参照してください。

以前の Amazon Redshift ODBCドライバーまたは JDBC ドライバーの使用

バージョン 1.3.7.1000 より前の Amazon Redshift ODBC ドライバーを使用する必要がある場合は、Redshift の認証機関バンドルをダウンロードして、古い証明書ファイルに上書きしてください。

  • ODBC DSN が SSLCertPath を使用して設定されている場合は、指定されたパスの証明書ファイルに上書きします。

  • SSLCertPath が設定されていない場合は、ドライバーの DLL の位置にある証明書ファイル (root.crt) に上書きします。

バージョン 1.2.8.1005 より前の Amazon Redshift JDBC ドライバーを使用する必要がある場合は、次のいずれかの操作を行います。

Amazon Redshift 認証機関バンドルをトラストストアにインポートする

Amazon Redshift 証機関バンドルの CA 証明書を Java トラストストア、またはプライベートトラストストアにインポートするには、redshift-keytool.jar を使用します。

Amazon Redshift 認証機関バンドルをトラストストアにインポートするには

  1. redshift-keytool.jar をダウンロードします。

  2. 次のいずれかを行ってください。

    • Amazon Redshift 認証機関バンドルを Java トラストストアにインポートするには、次のコマンドを実行します。

      java -jar redshift-keytool.jar -s
    • Amazon Redshift の認証機関バンドルをプライベートトラストストアにインポートするには、次のコマンドを実行します。

      java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password>

その他の SSL 接続タイプを使用する

次のいずれかを使用して接続している場合は、このセクションの手順に従います。

  • オープンソースの ODBC ドライバー

  • オープンソースの JDBC ドライバー

  • psql コマンドラインインターフェイス

  • libpq に基づく言語バインディング (例: psycopg2 (Python)、ruby-pg (Ruby))

その他の SSL 接続タイプで ACM 証明書を使用するには

  1. Amazon Redshift 認証機関バンドルをダウンロードします。

  2. バンドルの証明書を root.crt ファイルに追加します。

    • Linux および macOS X オペレーティングシステムでは、ファイルは ~/.postgresql/root.crt です。

    • Microsoft Windows では、ファイルは %APPDATA%\postgresql\root.crt です。