기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon DocumentDB TLS 인증서 업데이트
Amazon DocumentDB 클러스터의 CA(인증 기관) 인증서는 2024년 8월부터 업데이트됩니다. 전송 계층 보안(TLS)이 활성화(기본 설정)된 Amazon DocumentDB 클러스터를 사용하고 클라이언트 애플리케이션 및 서버 인증서를 교체하지 않은 경우, 애플리케이션과 Amazon DocumentDB 클러스터 간의 연결 문제를 완화하려면 다음 단계를 수행해야 합니다.
CA 및 서버 인증서는 Amazon DocumentDB에 대한 표준 유지 관리 및 보안 모범 사례의 일부로 업데이트되었습니다. 클라이언트 애플리케이션은 새 CA 인증서를 신뢰할 수 있는 스토어에 추가해야 하며, 이 만료 날짜 이전에 새 CA 인증서를 사용하도록 기존 Amazon DocumentDB 인스턴스를 업데이트해야 합니다.
애플리케이션 및 Amazon DocumentDB 클러스터 업데이트
이 섹션의 단계에 따라 애플리케이션의 CA 인증서 번들(1단계)과 클러스터의 서버 인증서(2단계)를 업데이트합니다. 프로덕션 환경에 변경 사항을 적용하기 전에 개발 또는 스테이징 환경에서 이러한 단계를 테스트하는 것이 좋습니다.
참고
Amazon DocumentDB 클러스터가 있는 AWS 리전 경우 각각 1단계와 2단계를 완료해야 합니다.
1단계: 새 CA 인증서 다운로드 및 애플리케이션 업데이트
새 CA 인증서를 다운로드하고 응용 프로그램을 업데이트하여 새 CA 인증서를 사용하여 Amazon DocumentDB에 TLS 연결을 만듭니다. https://truststore.pki.rds.amazonaws.com/global/global-bundle.pemglobal-bundle.pem라는 파일이 다운로드됩니다.
참고
이전 CA 인증서(rds-ca-2019-root.pem)와 새 CA 인증서(rds-ca-rsa2048-g1, rds-ca-rsa4096-g1)가 모두 포함된 키 스토어에 액세스하는 경우 키 스토어에서 global-bundle를 선택하는지 확인하십시오.
wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
그런 다음 새 인증서 번들을 사용하도록 애플리케이션을 업데이트합니다. 새 CA 번들에는 기존 CA 인증서 (rds-ca-2019) 와 새 CA 인증서 (2048-g1, 4096-g1) 가 모두 들어 있습니다. rds-ca-rsa rds-ca-rsa 새 CA 번들에 두 CA 인증서가 모두 포함되어 있으므로 애플리케이션과 클러스터를 두 단계로 업데이트할 수 있습니다.
애플리케이션에서 최신 CA 인증서 번들을 사용하고 있는지 확인하려면 최신 CA 번들을 사용하고 있는지 어떻게 확인할 수 있습니까? 단원을 참조하십시오. 애플리케이션에서 최신 CA 인증서 번들을 이미 사용하고 있는 경우 2단계로 건너뛸 수 있습니다.
애플리케이션에 CA 번들을 사용하는 경우의 예는 전송 중 데이터 암호화 및 TLS가 활성화된 상태에서 연결 단원을 참조하십시오.
참고
현재 MongoDB Go Driver 1.2.1은 sslcertificateauthorityfile에서 하나의 CA 서버 인증서만 허용합니다. TLS가 활성화될 때 Go를 사용하여 Amazon DocumentDB에 연결하는 방법은 TLS가 활성화된 상태에서 연결 단원을 참조하십시오.
2단계: 서버 인증서 업데이트
응용프로그램이 새 CA 번들을 사용하도록 업데이트되면, 다음 단계는 Amazon DocumentDB 클러스터의 각 인스턴스를 수정하여 서버 인증서를 업데이트하는 것입니다. 새 서버 인증서를 사용하도록 인스턴스를 수정하려면 다음 지침을 참조하십시오.
Amazon DocumentDB는 DB 인스턴스의 DB 서버 인증서에 서명할 수 있는 다음 CA를 제공합니다.
-
rds-ca-rsa2048-g1 - 대부분의 지역에서 RSA 2048 개인 키 알고리즘과 SHA256 서명 알고리즘을 갖춘 인증 기관을 사용합니다. AWS 이 CA는 자동 서버 인증서 교체를 지원합니다.
-
rds-ca-rsa4096-g1 - RSA 4096 개인 키 알고리즘과 SHA384 서명 알고리즘을 갖춘 인증 기관을 사용합니다. 이 CA는 자동 서버 인증서 교체를 지원합니다.
이러한 CA 인증서는 지역 및 글로벌 인증서 번들에 포함되어 있습니다. rds-ca-rsa2048-g1 또는 rds-ca-rsa 4096-g1 CA를 데이터베이스와 함께 사용하는 경우 Amazon DocumentDB는 데이터베이스의 DB 서버 인증서를 관리합니다. Amazon DocumentDB는 만료되기 전에 DB 서버 인증서를 자동으로 교체합니다.
참고
Amazon DocumentDB 3.6 인스턴스를 업데이트하려면 재부팅이 필요하며, 이로 인해 서비스가 중단될 수 있습니다. 아마존 DocumentDB 4.0과 5.0은 재부팅할 필요가 없습니다. 서버 인증서를 업데이트하기 전에 1단계를 완료했는지 확인합니다.
문제 해결
인증서 교체의 일부로 클러스터에 연결하는 데 문제가 있는 경우 다음을 권장합니다.
-
인스턴스를 재부팅합니다 (Amazon DocumentDB 3.6만 해당). 새 인증서를 교체하려면 각 인스턴스를 재부팅해야 합니다. 새 인증서를 하나 이상의 인스턴스에 적용했지만 재부팅하지 않은 경우 인스턴스를 재부팅하여 새 인증서를 적용합니다. 자세한 정보는 Amazon DocumentDB 인스턴스 재부팅을 참조하세요.
참고
Amazon DocumentDB 4.0과 5.0은 인증서 교체를 위해 재부팅할 필요가 없습니다.
-
클라이언트가 최신 인증서 번들을 사용하고 있는지 확인합니다. 최신 CA 번들을 사용하고 있는지 어떻게 확인할 수 있습니까? 섹션을 참조하십시오.
-
인스턴스가 최신 인증서를 사용하고 있는지 확인합니다. 내 Amazon DocumentDB 인스턴스가 이전/새 서버 인증서를 사용하고 있는지 어떻게 알 수 있습니까? 섹션을 참조하십시오.
-
애플리케이션에서 최신 인증서 CA를 사용하고 있는지 확인합니다. Java 및 Go와 같은 일부 드라이버는 인증서 번들에서 신뢰 저장소로 여러 인증서를 가져오려면 추가 코드가 필요합니다. TLS를 사용하여 Amazon DocumentDB에 연결하는 방법에 대한 자세한 내용은 Amazon DocumentDB에 프로그래밍 방식으로 연결을 참조하십시오.
-
고객 지원 센터에 문의.. 질문이나 문제가 있으면 AWS Support
에 연락하세요.
FAQ
다음은 TLS 인증서에 대한 몇 가지 일반적인 질문에 대한 답변입니다.
질문이나 문제가 있는 경우 어떻게 해야 합니까?
질문이나 문제가 있으면 AWS Support
Amazon DocumentDB 클러스터에 연결하는 데 TLS를 사용했는지 어떻게 알 수 있습니까?
클러스터의 클러스터 파라미터 그룹에 대한 tls 파라미터를 확인하여 클러스터에서 TLS를 사용하고 있는지 확인할 수 있습니다. tls 파라미터가 enabled로 설정된 경우 TLS 인증서를 사용하여 클러스터에 연결되어 있는 것입니다. 자세한 정보는 Amazon DocumentDB 클러스터 파라미터 그룹 관리을 참조하세요.
CA와 서버 인증서를 업데이트하는 이유는 무엇입니까?
Amazon DocumentDB CA 및 서버 인증서는 Amazon DocumentDB에 대한 표준 유지 관리 및 보안 모범 사례의 일부로 업데이트되고 있습니다. 현재 CA 및 서버 인증서는 2024년 8월부터 만료됩니다.
만료일까지 조치를 취하지 않으면 어떻게 됩니까?
TLS를 사용하여 Amazon DocumentDB 클러스터에 연결하고 2024년 8월까지 인증서를 변경하지 않으면 TLS를 통해 연결하는 애플리케이션이 더 이상 Amazon DocumentDB 클러스터와 통신할 수 없습니다.
Amazon DocumentDB는 만료가 이뤄질 때까지 데이터베이스 인증서를 자동으로 교체하지 않습니다. 만료일 이전 또는 이후에 새 CA 인증서를 사용하려면 애플리케이션과 클러스터를 업데이트해야 합니다.
내 Amazon DocumentDB 인스턴스가 이전/새 서버 인증서를 사용하고 있는지 어떻게 알 수 있습니까?
여전히 이전 서버 인증서를 사용하는 Amazon DocumentDB 인스턴스를 식별하려면 Amazon DocumentDB 또는 를 사용할 수 있습니다. AWS Management Console AWS CLI
이전 인증서를 사용하는 클러스터의 인스턴스를 식별하려면
에 AWS Management Console로그인하고 https://console.aws.amazon.com/docdb 에서 Amazon DocumentDB 콘솔을 엽니다.
-
화면 오른쪽 상단의 지역 목록에서 인스턴스가 AWS 리전 위치한 지역을 선택합니다.
-
콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.
-
인증 기관 열(테이블의 맨 오른쪽 근처)에는 아직 이전 서버 인증서(
rds-ca-2019)에 있는 인스턴스, 그리고 새 서버 인증서(rds-ca-rsa2048-g1)에 있는 인스턴스가 모두 표시됩니다.
이전 서버 인증서를 사용하는 클러스터의 인스턴스를 식별하려면 describe-db-clusters 명령을 다음과 함께 사용합니다.
aws docdb describe-db-instances \ --filters Name=engine,Values=docdb \ --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
Amazon DocumentDB 클러스터에서 개별 인스턴스를 수정하여 서버 인증서를 업데이트하려면 어떻게 해야 합니까?
특정 클러스터의 모든 인스턴스에 대한 서버 인증서를 동시에 업데이트하는 것이 좋습니다. 클러스터의 인스턴스를 수정하기 위해 콘솔 또는 AWS CLI를 사용할 수 있습니다.
참고
Amazon DocumentDB 3.6 인스턴스를 업데이트하려면 재부팅이 필요하며, 이로 인해 서비스가 중단될 수 있습니다. 아마존 DocumentDB 4.0과 5.0은 재부팅할 필요가 없습니다. 서버 인증서를 업데이트하기 전에 1단계를 완료했는지 확인합니다.
에 AWS Management Console로그인하고 https://console.aws.amazon.com/docdb 에서 Amazon DocumentDB 콘솔을 엽니다.
-
화면 오른쪽 상단의 지역 목록에서 클러스터가 AWS 리전 위치한 지역을 선택합니다.
-
콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.
-
인증 기관 열(테이블의 맨 오른쪽 근처)에는 아직 이전 서버 인증서(
rds-ca-2019)에 있는 인스턴스가 표시됩니다. -
클러스터 테이블의 클러스터 식별자에서 수정할 인스턴스를 선택합니다.
-
작업을 선택한 다음 수정을 선택합니다.
-
인증 기관에서 이 인스턴스에 대한 새 서버 인증서(
rds-ca-rsa2048-g1)를 선택합니다. -
다음 페이지에서 변경 사항 요약을 볼 수 있습니다. 연결이 중단되지 않도록 인스턴스를 수정하기 전에 애플리케이션이 최신 인증서 CA 번들을 사용하고 있는지 확인하는 추가 알림이 있습니다.
-
다음 유지 관리 기간 중에 수정 사항을 적용하거나 즉시 적용하도록 선택할 수 있습니다.
-
Modify instance(인스턴스 수정)를 선택하여 업데이트를 완료합니다.
AWS CLI을 사용하여 기존 Amazon DocumentDB 인스턴스의 이전 서버 인증서를 식별하고 교체하기 위해 다음 단계를 완료하세요.
-
인스턴스를 즉시 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.
aws docdb modify-db-instance --db-instance-identifier<yourInstanceIdentifier>--ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately -
클러스터의 다음 유지 관리 기간 동안 새 CA 인증서를 사용하도록 클러스터의 인스턴스를 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.
aws docdb modify-db-instance --db-instance-identifier<yourInstanceIdentifier>--ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately
기존 클러스터에 새 인스턴스를 추가하면 어떻게 됩니까?
생성된 모든 새 인스턴스는 이전 서버 인증서를 사용하며, 이전 CA 인증서를 사용하는 TLS 연결이 필요합니다. 2024년 1월 25일 이후에 생성된 모든 새 Amazon DocumentDB 인스턴스는 기본적으로 새 인증서 2048-g1을 사용합니다. rds-ca-rsa
클러스터에 인스턴스 대체 또는 장애 조치가 있는 경우 어떻게 됩니까?
클러스터에 인스턴스 대체가 있는 경우, 생성된 새 인스턴스는 인스턴스가 이전에 사용했던 것과 동일한 서버 인증서를 계속 사용합니다. 모든 인스턴스에 대한 서버 인증서를 동시에 업데이트하는 것이 좋습니다. 클러스터에 장애 조치가 발생하면 새로운 기본 서버 인증서가 사용됩니다.
TLS를 사용하여 클러스터에 연결하지 않는 경우에도 각 인스턴스를 업데이트해야 합니까?
TLS를 활성화하는 것이 좋습니다. TLS를 활성화하지 않는 경우에도 향후에 TLS를 사용하여 클러스터에 연결할 계획을 세울 경우에 대비하여 Amazon DocumentDB 인스턴스의 인증서를 교체하는 것이 좋습니다. TLS를 사용하여 Amazon DocumentDB 클러스터에 연결할 계획이 없다면 별도의 조치가 필요하지 않습니다.
TLS를 사용하여 클러스터에 연결하지 않고 나중에 연결할 계획이라면 어떻게 해야 합니까?
2024년 1월 이전에 클러스터를 생성한 경우 이전 단원의 1단계 및 2단계를 수행하여 애플리케이션에서 업데이트된 CA 번들을 사용하고 있는지 및 각 Amazon DocumentDB 인스턴스가 최신 서버 인증서를 사용 중인지 확인합니다. 2024년 1월 25일 이후에 클러스터를 생성하는 경우 클러스터에는 이미 최신 서버 인증서 (2048-g1) 가 있습니다. rds-ca-rsa 애플리케이션이 최신 CA 번들을 사용하고 있는지 확인하려면 TLS를 사용하여 클러스터에 연결하지 않는 경우에도 각 인스턴스를 업데이트해야 합니까? 단원을 참조하십시오.
2024년 8월 이후로 기한을 연장할 수 있습니까?
애플리케이션이 TLS를 통해 연결되는 경우, 기한을 연장할 수 없습니다.
최신 CA 번들을 사용하고 있는지 어떻게 확인할 수 있습니까?
최신 번들인지 확인하려면 다음 명령을 사용하십시오. 이 명령을 실행하려면 Java가 설치되어 있어야 하고 Java 도구가 쉘의 PATH 변수에 있어야 합니다. 자세한 내용은 Java 사용
keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b
CA 번들 이름에 “RDS”가 표시되는 이유는 무엇입니까?
인증서 관리와 같은 일부 관리 기능의 경우 Amazon DocumentDB는 Amazon Relational Database Service(RDS)와 공유되는 운영 기술을 사용합니다.
새 인증서는 언제 만료됩니까?
새 서버 인증서는 (일반적으로) 다음과 같이 만료됩니다.
-
rds-ca-rsa2048-g1 —2061년 만료
-
rds-ca-rsa4096-g1 —만료 2121
새 서버 인증서를 적용한 경우 이전 서버 인증서로 되돌릴 수 있습니까?
인스턴스를 이전 서버 인증서로 되돌려야 하는 경우 클러스터의 모든 인스턴스에 대해 수행하는 것이 좋습니다. 또는 를 사용하여 클러스터의 각 인스턴스에 대한 서버 인증서를 되돌릴 수 있습니다. AWS Management Console AWS CLI
에 AWS Management Console로그인하고 https://console.aws.amazon.com/docdb 에서 Amazon DocumentDB 콘솔을 엽니다.
-
화면 오른쪽 상단의 지역 목록에서 클러스터가 AWS 리전 위치한 지역을 선택합니다.
-
콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.
-
클러스터 테이블의 클러스터 식별자에서 수정할 인스턴스를 선택합니다. 작업을 선택한 후 수정을 선택합니다.
-
인증 기관에서 이전 서버 인증서(
rds-ca-2019)를 선택할 수 있습니다. -
수정 사항의 요약을 보려면 계속을 선택합니다.
-
이 결과 페이지에서 수정 사항이 다음 유지 관리 기간에 적용되도록 예약하거나 수정 사항을 즉시 적용하도록 선택할 수 있습니다. 선택한 다음 Modify instance(인스턴스 수정)를 선택합니다.
참고
수정 사항을 즉시 적용하기로 선택하면 보류 중 수정 사항 대기열에 있는 변경 사항까지 모두 적용됩니다. 보류 중 수정 사항 중 하나라도 가동 중지를 필요로 하는 경우 이 옵션을 선택하면 예기치 못한 가동 중지가 발생할 수 있습니다.
aws docdb modify-db-instance --db-instance-identifier<db_instance_name>ca-certificate-identifier rds-ca-2019<--apply-immediately | --no-apply-immediately>
--no-apply-immediately를 선택하면, 클러스터의 다음 유지 관리 기간 중에 변경 사항이 적용됩니다.
스냅샷이나 특정 시점으로 복구를 통해 복원하는 경우 새 서버 인증서가 사용됩니까?
2024년 8월 이후에 스냅샷을 point-in-time 복원하거나 복원을 수행하는 경우 생성되는 새 클러스터는 새 CA 인증서를 사용합니다.
Mac OS X Catalina에서 내 Amazon DocumentDB 클러스터에 직접 연결하는 데 문제가 있으면 어떻게 됩니까?
Mac OS는 신뢰할 수 있는 인증서에 대한 요구 사항을 업데이트했습니다. 신뢰할 수 있는 인증서로 인정받으려면, 이제 유효 기간이 397일 이하여야 합니다(https://support.apple.com/en-us/HT211025
참고
이 제한은 최신 버전의 Mac OS에서 적용됩니다.
Amazon DocumentDB 인스턴스 인증서는 4년 이상 유효하며 이는 Mac OS의 최대 유효 기간보다 더 깁니다. Mac OS를 실행하는 컴퓨터에서 Amazon DocumentDB 클러스터에 직접 연결하려면 TLS 연결을 만들 때 유효하지 않은 인증서를 허용해야 합니다. 이 경우 유효하지 않은 인증서는 유효 기간이 397일보다 길다는 것을 의미합니다. Amazon DocumentDB 클러스터에 연결할 때 유효하지 않은 인증서를 허용하기 전에 어떤 위험이 따를 수 있는지 이해해야 합니다.
를 사용하여 Mac OS에서 Amazon DocumentDB 클러스터에 연결하려면 파라미터를 AWS CLI사용하십시오. tlsAllowInvalidCertificates
mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates
