SSL/TLS 연결 설정 문제 해결

Amazon DynamoDB는 타사 인증 기관 대신 ATS(Amazon Trust Services) 인증 기관에서 서명한 보안 인증서로 엔드포인트를 옮기고 있습니다. 2017년 12월, Amazon Trust Services에서 발급한 보안 인증서로 EU-WEST-3(파리) 리전을 시작했습니다. 2017년 12월 이후 시작된 모든 새 리전에는 Amazon Trust Services에서 발급한 보안 인증서가 포함된 엔드포인트가 있습니다. 이 안내서는 SSL/TLS 연결 문제를 확인하고 해결하는 방법을 보여줍니다.

애플리케이션 또는 서비스 테스트

대부분의 AWS SDK 및 명령줄 인터페이스 (CLI) 는 Amazon 트러스트 서비스 인증 기관을 지원합니다. 2013년 10월 29일 이전에 출시된 Python 또는 CLI용 AWS SDK 버전을 사용하는 경우 업그레이드해야 합니다. .NET, Java, PHP, Go JavaScript, C++ SDK와 CLI는 인증서를 번들로 제공하지 않으며 인증서는 기본 운영 체제에서 제공됩니다. Ruby SDK에는 2015년 6월 10일 이후의 필수 CA가 하나 이상 포함되어 있습니다. 이 날짜 이전의 Ruby V2 SDK는 인증서를 번들하지 않습니다. 지원되지 않거나 사용자 지정 또는 수정된 버전의 AWS SDK를 사용하거나 사용자 지정 신뢰 스토어를 사용하는 경우 Amazon Trust Services 인증 기관에 필요한 지원이 없을 수 있습니다.

DynamoDB 엔드포인트에 대한 액세스를 확인하려면 EU-WEST-3 리전에서 DynamoDB API 또는 DynamoDB Streams API에 액세스하는 테스트를 개발하고 TLS 핸드셰이크가 성공했는지 확인해야 합니다. 이러한 테스트에서 액세스해야 하는 특정 엔드포인트는 다음과 같습니다.

• DynamoDB: https://dynamodb.eu-west-3.amazonaws.com

• DynamoDB Streams: https://streams.dynamodb.eu-west-3.amazonaws.com

애플리케이션이 Amazon Trust Services 인증 기관을 지원하지 않는 경우 다음과 같은 실패 중 하나가 표시됩니다.

• SSL/TLS 협상 오류

• 소프트웨어에서 SSL/TLS 협상 실패를 나타내는 오류가 수신되기 전까지 오래 지연되었습니다. 지연 시간은 클라이언트의 재시도 전략과 제한 시간 구성에 따라 달라집니다.

클라이언트 브라우저 테스트

브라우저가 Amazon DynamoDB에 연결할 수 있는지 확인하려면 https://dynamodb.eu-west-3.amazonaws.com URL을 여세요. 테스트에 성공하면 다음과 같은 메시지가 표시됩니다.

healthy: dynamodb.eu-west-3.amazonaws.com

테스트가 실패하면 https://untrusted-root.badssl.com/과 유사한 오류가 표시됩니다.

소프트웨어 애플리케이션 클라이언트 업데이트

DynamoDB 또는 DynamoDB Streams API 엔드포인트(브라우저를 통해서든 프로그래밍 방식으로든 관계없음)에 액세스하는 애플리케이션은 다음 CA 중 하나를 아직 지원하지 않는 경우 클라이언트 시스템에서 신뢰하는 CA 목록을 업데이트해야 합니다.

• Amazon Root CA 1

• Starfield Services Root Certificate Authority - G2

• Starfield Class 2 Certification Authority

클라이언트가 이미 위의 3개 CA 중 하나라도 신뢰하는 경우 해당 클라이언트는 DynamoDB에서 사용하는 인증서를 신뢰하며 다른 작업이 필요하지 않습니다. 그러나 클라이언트가 위의 CA 중 어느 것도 아직 신뢰하지 않는 경우 DynamoDB 또는 DynamoDB Streams API에 대한 HTTPS 연결이 실패합니다. 자세한 내용은 다음 블로그 게시물 https://aws.amazon.com/blogs/security/ how-to-prepare-for - aws-move-to-its - own-certificate-authority /을 참조하십시오.

클라이언트 브라우저 업데이트

브라우저를 업데이트하여 브라우저의 인증서 번들을 업데이트할 수 있습니다. 가장 일반적인 브라우저에 대한 지침은 브라우저의 웹 사이트에서 찾을 수 있습니다.

• Chrome: https://support.google.com/chrome/answer/95414?hl=en

• 파이어폭스: https://support.mozilla.org/en-US/kb/ update-firefox-latest-version

• Safari: https://support.apple.com/en-us/HT204416

• 인터넷 익스플로러: https://support.microsoft.com/en-us/help/17295/ windows-internet-explorer-which -버전 #ie =기타

수동으로 인증서 번들 업데이트

DynamoDB API 또는 DynamoDB Streams API에 액세스할 수 없는 경우 인증서 번들을 업데이트해야 합니다. 업데이트하려면 필수 CA 중 하나 이상을 가져와야 합니다. https://www.amazontrust.com/repository/에서 해당 CA를 찾을 수 있습니다.

다음 운영 체제 및 프로그래밍 언어는 Amazon Trust Services 인증서를 지원합니다.

• 2005년 1월 이후 업데이트가 설치된 Microsoft Windows 버전, Windows Vista, Windows 7, Windows Server 2008 및 최신 버전

• MacOS X 10.4 릴리스 5용 Java가 설치된 Mac OS X 10.4, Mac OS X 10.5 이상 버전

• Red Hat Enterprise Linux 5(2007년 3월), Linux 6 및 Linux 7과 CentOS 5, CentOS 6 및 CentOS 7

• Ubuntu 8.10

• Debian 5.0

• Amazon Linux(모든 버전)

• Java 1.4.2_12, Java 5 업데이트 2 및 Java 6, Java 7 및 Java 8을 비롯한 모든 최신 버전

여전히 연결할 수 없는 경우 소프트웨어 설명서, OS 공급업체를 참조하거나 AWS Support https://aws.amazon.com/support 에 문의하여 추가 지원을 받으십시오.