아마존 DocumentDB 인증서 TLS 업데이트 - Amazon DocumentDB

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 DocumentDB 인증서 TLS 업데이트

Amazon DocumentDB 클러스터의 CA(인증 기관) 인증서는 2024년 8월부터 업데이트됩니다. 전송 계층 보안 TLS () 이 활성화 (기본 설정) 된 Amazon DocumentDB 클러스터를 사용하고 있고 클라이언트 애플리케이션과 서버 인증서를 교체하지 않은 경우, 애플리케이션과 Amazon DocumentDB 클러스터 간의 연결 문제를 완화하려면 다음 단계가 필요합니다.

CA 및 서버 인증서는 Amazon DocumentDB에 대한 표준 유지 관리 및 보안 모범 사례의 일부로 업데이트되었습니다. 클라이언트 애플리케이션은 새 CA 인증서를 신뢰할 수 있는 스토어에 추가해야 하며, 이 만료 날짜 이전에 새 CA 인증서를 사용하도록 기존 Amazon DocumentDB 인스턴스를 업데이트해야 합니다.

애플리케이션 및 Amazon DocumentDB 클러스터 업데이트

이 섹션의 단계에 따라 애플리케이션의 CA 인증서 번들(1단계)과 클러스터의 서버 인증서(2단계)를 업데이트합니다. 프로덕션 환경에 변경 사항을 적용하기 전에 개발 또는 스테이징 환경에서 이러한 단계를 테스트하는 것이 좋습니다.

참고

Amazon DocumentDB 클러스터가 있는 AWS 리전 경우 각각 1단계와 2단계를 완료해야 합니다.

1단계: 새 CA 인증서 다운로드 및 애플리케이션 업데이트

새 CA 인증서를 다운로드하고 새 CA 인증서를 사용하여 Amazon DocumentDB에 대한 TLS 연결을 생성하도록 애플리케이션을 업데이트하십시오. https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem에서 새 CA 인증서 번들을 다운로드합니다. 그러면 global-bundle.pem라는 파일이 다운로드됩니다.

참고

이전 CA 인증서 (rds-ca-2019-root.pem) 와 새 CA 인증서 (rds-ca-rsa2048-g1,,) 가 모두 들어 있는 키스토어에 액세스하는 경우rds-ca-rsa4096-g1, rds-ca-ecc384-g1 키스토어가 선택하는지 확인하십시오. global-bundle

wget https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem

그런 다음 새 인증서 번들을 사용하도록 애플리케이션을 업데이트합니다. 새 CA 번들에는 이전 CA 인증서 (rds-ca-2019) 와 새 CA 인증서 (rds-ca-rsa2048-g1, 4096-g1, 384-g1) 가 모두 포함되어 있습니다. rds-ca-rsa rds-ca-ecc 새 CA 번들에 두 CA 인증서가 모두 포함되어 있으므로 애플리케이션과 클러스터를 두 단계로 업데이트할 수 있습니다.

Java 애플리케이션의 경우 새 CA 인증서를 사용하여 새 신뢰 저장소를 만들어야 합니다. 자세한 지침은 활성화된 상태로 연결 TLS 항목의 Java 탭을 참조하십시오.

애플리케이션에서 최신 CA 인증서 번들을 사용하고 있는지 확인하려면 최신 CA 번들을 사용하고 있는지 어떻게 확인할 수 있습니까? 단원을 참조하십시오. 애플리케이션에서 최신 CA 인증서 번들을 이미 사용하고 있는 경우 2단계로 건너뛸 수 있습니다.

애플리케이션에 CA 번들을 사용하는 경우의 예는 전송 중 데이터 암호화활성화된 상태로 연결 TLS 단원을 참조하십시오.

참고

현재 MongoDB Go Driver 1.2.1은 sslcertificateauthorityfile에서 하나의 CA 서버 인증서만 허용합니다. 활성화된 상태에서 TLS Go를 사용하여 Amazon DocumentDB에 연결하는 방법은 을 참조하십시오활성화된 상태로 연결 TLS.

2단계: 서버 인증서 업데이트

응용프로그램이 새 CA 번들을 사용하도록 업데이트되면, 다음 단계는 Amazon DocumentDB 클러스터의 각 인스턴스를 수정하여 서버 인증서를 업데이트하는 것입니다. 새 서버 인증서를 사용하도록 인스턴스를 수정하려면 다음 지침을 참조하십시오.

Amazon DocumentDB는 DB 인스턴스용 DB 서버 인증서에 서명하기 위해 CAs 다음을 제공합니다.

  • rds-ca-ecc384-g1 - ECC 384 개인 키 알고리즘 및 서명 알고리즘을 갖춘 인증 기관을 사용합니다. SHA384 이 CA는 자동 서버 인증서 교체를 지원합니다. 이 기능은 아마존 DocumentDB 4.0 및 5.0에서만 지원됩니다.

  • rds-ca-rsa2048-g1 - 대부분의 지역에서 RSA 2048개의 개인 키 알고리즘과 서명 알고리즘을 갖춘 인증 기관을 사용합니다. SHA256 AWS 이 CA는 자동 서버 인증서 교체를 지원합니다.

  • rds-ca-rsa4096-g1 - RSA 4096개의 개인 키 알고리즘과 서명 알고리즘을 갖춘 인증 기관을 사용합니다. SHA384 이 CA는 자동 서버 인증서 교체를 지원합니다.

이러한 CA 인증서는 지역 및 글로벌 인증서 번들에 포함되어 있습니다. rds-ca-rsa2048-g1, rds-ca-rsa 4096-g1 또는 rds-ca-ecc 384-g1 CA를 데이터베이스와 함께 사용하는 경우 Amazon DocumentDB는 데이터베이스의 DB 서버 인증서를 관리합니다. Amazon DocumentDB는 만료되기 전에 DB 서버 인증서를 자동으로 교체합니다.

참고

클러스터가 다음 엔진 패치 버전에서 실행되는 경우 Amazon DocumentDB는 인증서 교체를 위해 재부팅할 필요가 없습니다.

  • 아마존 DocumentDB 3.6:1.0.208662 이상

  • 아마존 DocumentDB 4.0:2.0.10179 이상

  • 아마존 DocumentDB 5.0:3.0.4780 이상

다음 명령을 실행하여 현재 Amazon DocumentDB 엔진 패치 버전을 확인할 수 있습니다. db.runCommand({getEngineVersion: 1})

서버 인증서를 업데이트하기 전에 먼저 완료했는지 확인하십시오. 1단계

Using the AWS Management Console

AWS Management Console을 사용하여 기존 Amazon DocumentDB 인스턴스의 이전 서버 인증서를 식별하고 교체하기 위해 다음 단계를 완료하세요.

  1. 에 로그인하고 AWS Management Console/docdb에서 아마존 DocumentDB 콘솔을 엽니다. https://console.aws.amazon.com

  2. 화면 오른쪽 상단의 지역 목록에서 클러스터가 위치한 지역을 선택합니다. AWS 리전

  3. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  4. 이전 서버 인증서 (rds-ca-2019) 에 아직 남아 있는 인스턴스를 식별해야 할 수도 있습니다. 클러스터 테이블 맨 오른쪽에 있는 인증 기관 열에서 이 작업을 수행할 수 있습니다.

  5. 클러스터 테이블의 맨 왼쪽에 클러스터 식별자 열이 보일 것입니다. 인스턴스는 아래 스크린샷과 비슷하게 클러스터 아래에 나열됩니다.

    기존 클러스터 링크 및 해당 인스턴스 링크 목록을 보여 주는 클러스터 탐색 상자 이미지.
  6. 관심 있는 인스턴스의 왼쪽에 있는 박스를 선택합니다.

  7. 작업을 선택한 다음 수정을 선택합니다.

  8. 인증 기관에서 이 인스턴스에 대한 새 서버 인증서(rds-ca-rsa2048-g1)를 선택합니다.

  9. 다음 페이지에서 변경 사항 요약을 볼 수 있습니다. 연결이 중단되지 않도록 인스턴스를 수정하기 전에 애플리케이션이 최신 인증서 CA 번들을 사용하고 있는지 확인하는 추가 알림이 있습니다.

  10. 다음 유지 관리 기간 중에 수정 사항을 적용하거나 즉시 적용하도록 선택할 수 있습니다. 서버 인증서를 즉시 수정하려는 경우 즉시 적용 옵션을 사용합니다.

  11. Modify instance(인스턴스 수정)를 선택하여 업데이트를 완료합니다.

Using the AWS CLI

AWS CLI을 사용하여 기존 Amazon DocumentDB 인스턴스의 이전 서버 인증서를 식별하고 교체하기 위해 다음 단계를 완료하세요.

  1. 인스턴스를 즉시 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
  2. 클러스터의 다음 유지 관리 기간 동안 새 CA 인증서를 사용하도록 클러스터의 인스턴스를 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

문제 해결

인증서 교체의 일부로 클러스터에 연결하는 데 문제가 있는 경우 다음을 권장합니다.

FAQ

다음은 인증서와 관련된 몇 가지 일반적인 질문에 대한 TLS 답변입니다.

질문이나 문제가 있는 경우 어떻게 해야 합니까?

질문이나 문제가 있으면 AWS Support에 연락하세요.

Amazon DocumentDB TLS 클러스터에 연결하는 데 사용하고 있는지 여부를 어떻게 알 수 있습니까?

클러스터의 클러스터 파라미터 그룹에 대한 tls 파라미터를 TLS 검사하여 클러스터가 사용 중인지 여부를 확인할 수 있습니다. tls파라미터가 로 enabled 설정된 경우 TLS 인증서를 사용하여 클러스터에 연결하는 것입니다. 자세한 내용은 Amazon DocumentDB 클러스터 파라미터 그룹 관리 단원을 참조하십시오.

CA와 서버 인증서를 업데이트하는 이유는 무엇입니까?

Amazon DocumentDB CA 및 서버 인증서는 Amazon DocumentDB에 대한 표준 유지 관리 및 보안 모범 사례의 일부로 업데이트되고 있습니다. 현재 CA 및 서버 인증서는 2024년 8월부터 만료됩니다.

만료일까지 조치를 취하지 않으면 어떻게 됩니까?

를 TLS 사용하여 Amazon DocumentDB 클러스터에 연결하고 2024년 8월 를 TLS 통해 연결하는 애플리케이션은 더 이상 Amazon DocumentDB 클러스터와 통신할 수 없습니다.

Amazon DocumentDB는 만료가 이뤄질 때까지 데이터베이스 인증서를 자동으로 교체하지 않습니다. 만료일 이전 또는 이후에 새 CA 인증서를 사용하려면 애플리케이션과 클러스터를 업데이트해야 합니다.

내 Amazon DocumentDB 인스턴스가 이전/새 서버 인증서를 사용하고 있는지 어떻게 알 수 있습니까?

여전히 이전 서버 인증서를 사용하는 Amazon DocumentDB 인스턴스를 식별하려면 Amazon DocumentDB 또는 를 사용할 수 있습니다. AWS Management Console AWS CLI

이전 인증서를 사용하는 클러스터의 인스턴스를 식별하려면
  1. 에 로그인하고 AWS Management Console/docdb에서 아마존 DocumentDB 콘솔을 엽니다. https://console.aws.amazon.com

  2. 화면 오른쪽 상단의 지역 목록에서 인스턴스가 위치한 지역을 선택합니다. AWS 리전

  3. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  4. 인증 기관 열(테이블의 맨 오른쪽 근처)에는 아직 이전 서버 인증서(rds-ca-2019)에 있는 인스턴스, 그리고 새 서버 인증서(rds-ca-rsa2048-g1)에 있는 인스턴스가 모두 표시됩니다.

이전 서버 인증서를 사용하는 클러스터의 인스턴스를 식별하려면 describe-db-clusters 명령을 다음과 함께 사용합니다.

aws docdb describe-db-instances \ --filters Name=engine,Values=docdb \ --query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'

Amazon DocumentDB 클러스터에서 개별 인스턴스를 수정하여 서버 인증서를 업데이트하려면 어떻게 해야 합니까?

특정 클러스터의 모든 인스턴스에 대한 서버 인증서를 동시에 업데이트하는 것이 좋습니다. 클러스터의 인스턴스를 수정하기 위해 콘솔 또는 AWS CLI를 사용할 수 있습니다.

참고

서버 인증서를 업데이트하기 전에 1단계를 완료했는지 확인합니다.

  1. 에 로그인하고 AWS Management Console/docdb에서 아마존 DocumentDB 콘솔을 엽니다. https://console.aws.amazon.com

  2. 화면 오른쪽 상단의 지역 목록에서 클러스터가 위치한 지역을 선택합니다. AWS 리전

  3. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  4. 인증 기관 열(테이블의 맨 오른쪽 근처)에는 아직 이전 서버 인증서(rds-ca-2019)에 있는 인스턴스가 표시됩니다.

  5. 클러스터 테이블의 클러스터 식별자에서 수정할 인스턴스를 선택합니다.

  6. 작업을 선택한 다음 수정을 선택합니다.

  7. 인증 기관에서 이 인스턴스에 대한 새 서버 인증서(rds-ca-rsa2048-g1)를 선택합니다.

  8. 다음 페이지에서 변경 사항 요약을 볼 수 있습니다. 연결이 중단되지 않도록 인스턴스를 수정하기 전에 애플리케이션이 최신 인증서 CA 번들을 사용하고 있는지 확인하는 추가 알림이 있습니다.

  9. 다음 유지 관리 기간 중에 수정 사항을 적용하거나 즉시 적용하도록 선택할 수 있습니다.

  10. Modify instance(인스턴스 수정)를 선택하여 업데이트를 완료합니다.

AWS CLI을 사용하여 기존 Amazon DocumentDB 인스턴스의 이전 서버 인증서를 식별하고 교체하기 위해 다음 단계를 완료하세요.

  1. 인스턴스를 즉시 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --apply-immediately
  2. 클러스터의 다음 유지 관리 기간 동안 새 CA 인증서를 사용하도록 클러스터의 인스턴스를 수정하려면 클러스터의 각 인스턴스에 대해 다음 명령을 실행합니다.

    aws docdb modify-db-instance --db-instance-identifier <yourInstanceIdentifier> --ca-certificate-identifier rds-ca-rsa2048-g1 --no-apply-immediately

기존 클러스터에 새 인스턴스를 추가하면 어떻게 됩니까?

새로 생성되는 모든 인스턴스는 이전 서버 인증서를 사용하며 이전 CA 인증서를 사용하여 TLS 연결해야 합니다. 2024년 1월 25일 이후에 생성된 모든 새 Amazon DocumentDB 인스턴스는 기본적으로 새 인증서 2048-g1을 사용합니다. rds-ca-rsa

클러스터에 인스턴스 대체 또는 장애 조치가 있는 경우 어떻게 됩니까?

클러스터에 인스턴스 대체가 있는 경우, 생성된 새 인스턴스는 인스턴스가 이전에 사용했던 것과 동일한 서버 인증서를 계속 사용합니다. 모든 인스턴스에 대한 서버 인증서를 동시에 업데이트하는 것이 좋습니다. 클러스터에 장애 조치가 발생하면 새로운 기본 서버 인증서가 사용됩니다.

TLS클러스터에 연결하는 데 사용하지 않는 경우에도 각 인스턴스를 업데이트해야 합니까?

활성화하는 것이 좋습니다TLS. TLS활성화하지 않은 경우에도 향후 클러스터에 연결하는 데 TLS 사용할 계획인 경우에 대비하여 Amazon DocumentDB 인스턴스의 인증서를 교체하는 것이 좋습니다. Amazon DocumentDB TLS 클러스터에 연결하는 데 사용할 계획이 없다면 별도의 조치가 필요하지 않습니다.

TLS클러스터에 연결하는 데 사용하고 있지 않지만 향후에는 연결할 계획이라면 어떻게 해야 합니까?

2024년 1월 이전에 클러스터를 생성한 경우 이전 단원의 1단계2단계를 수행하여 애플리케이션에서 업데이트된 CA 번들을 사용하고 있는지 및 각 Amazon DocumentDB 인스턴스가 최신 서버 인증서를 사용 중인지 확인합니다. 2024년 1월 25일 이후에 클러스터를 생성하는 경우 클러스터는 이미 최신 서버 인증서 (rds-ca-rsa2048-g1) 를 가지고 있을 것입니다. 애플리케이션이 최신 CA 번들을 사용하고 있는지 확인하려면 TLS클러스터에 연결하는 데 사용하지 않는 경우에도 각 인스턴스를 업데이트해야 합니까? 단원을 참조하십시오.

2024년 8월 이후로 기한을 연장할 수 있습니까?

를 통해 TLS 애플리케이션이 연결되는 경우 기한을 연장할 수 없습니다.

최신 CA 번들을 사용하고 있는지 어떻게 확인할 수 있습니까?

최신 번들인지 확인하려면 다음 명령을 사용하십시오. 이 명령을 실행하려면 java가 설치되어 있어야 하며 Java 도구가 셸 PATH 변수에 있어야 합니다. 자세한 내용은 Java 사용 섹션을 참조하십시오.

keytool -printcert -v -file global-bundle.pem
keytool -printcert -v -file global-bundle.p7b

CA 번들 이름에 RDS "“가 표시되는 이유는 무엇입니까?

인증서 관리와 같은 특정 관리 기능의 경우 Amazon DocumentDB는 Amazon 관계형 데이터베이스 서비스 (Amazon) 와 공유하는 운영 기술을 사용합니다. RDS

새 인증서는 언제 만료됩니까?

새 서버 인증서는 (일반적으로) 다음과 같이 만료됩니다.

  • rds-ca-rsa2048-g1 —2061년 만료

  • rds-ca-rsa4096-g1 —만료 2121

  • rds-ca-ecc384-g1 —만료 2121

인증서가 만료되기 전에 조치를 취하지 않으면 어떤 종류의 오류가 표시되나요?

오류 메시지는 드라이버에 따라 달라집니다. 일반적으로 “인증서가 만료되었습니다”라는 문자열이 포함된 인증서 검증 오류가 표시됩니다.

새 서버 인증서를 적용한 경우 이전 서버 인증서로 되돌릴 수 있습니까?

인스턴스를 이전 서버 인증서로 되돌려야 하는 경우 클러스터의 모든 인스턴스에 대해 수행하는 것이 좋습니다. AWS Management Console 또는 를 사용하여 클러스터의 각 인스턴스에 대한 서버 인증서를 되돌릴 수 있습니다. AWS CLI

  1. 에 로그인하고 AWS Management Console/docdb에서 아마존 DocumentDB 콘솔을 엽니다. https://console.aws.amazon.com

  2. 화면 오른쪽 상단의 지역 목록에서 클러스터가 위치한 지역을 선택합니다. AWS 리전

  3. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  4. 클러스터 테이블의 클러스터 식별자에서 수정할 인스턴스를 선택합니다. 작업을 선택한 후 수정을 선택합니다.

  5. 인증 기관에서 이전 서버 인증서(rds-ca-2019)를 선택할 수 있습니다.

  6. 수정 사항의 요약을 보려면 계속을 선택합니다.

  7. 이 결과 페이지에서 수정 사항이 다음 유지 관리 기간에 적용되도록 예약하거나 수정 사항을 즉시 적용하도록 선택할 수 있습니다. 선택한 다음 Modify instance(인스턴스 수정)를 선택합니다.

    참고

    수정 사항을 즉시 적용하기로 선택하면 보류 중 수정 사항 대기열에 있는 변경 사항까지 모두 적용됩니다. 보류 중 수정 사항 중 하나라도 가동 중지를 필요로 하는 경우 이 옵션을 선택하면 예기치 못한 가동 중지가 발생할 수 있습니다.

aws docdb modify-db-instance --db-instance-identifier <db_instance_name> ca-certificate-identifier rds-ca-2019 <--apply-immediately | --no-apply-immediately>

--no-apply-immediately를 선택하면, 클러스터의 다음 유지 관리 기간 중에 변경 사항이 적용됩니다.

스냅샷이나 특정 시점으로 복구를 통해 복원하는 경우 새 서버 인증서가 사용됩니까?

2024년 8월 이후에 스냅샷을 point-in-time 복원하거나 복원을 수행하는 경우 생성되는 새 클러스터는 새 CA 인증서를 사용합니다.

Mac OS X Catalina에서 내 Amazon DocumentDB 클러스터에 직접 연결하는 데 문제가 있으면 어떻게 됩니까?

Mac OS는 신뢰할 수 있는 인증서에 대한 요구 사항을 업데이트했습니다. 신뢰할 수 있는 인증서로 인정받으려면, 이제 유효 기간이 397일 이하여야 합니다(https://support.apple.com/en-us/HT211025 참조).

참고

이 제한은 최신 버전의 Mac OS에서 적용됩니다.

Amazon DocumentDB 인스턴스 인증서는 4년 이상 유효하며 이는 Mac OS의 최대 유효 기간보다 더 깁니다. Mac OS를 실행하는 컴퓨터에서 Amazon DocumentDB 클러스터에 직접 연결하려면 연결을 생성할 때 잘못된 인증서를 허용해야 합니다. TLS 이 경우 유효하지 않은 인증서는 유효 기간이 397일보다 길다는 것을 의미합니다. Amazon DocumentDB 클러스터에 연결할 때 유효하지 않은 인증서를 허용하기 전에 어떤 위험이 따를 수 있는지 이해해야 합니다.

를 사용하여 Mac OS에서 Amazon DocumentDB 클러스터에 연결하려면 파라미터를 AWS CLI사용하십시오. tlsAllowInvalidCertificates

mongo --tls --host <hostname> --username <username> --password <password> --port 27017 --tlsAllowInvalidCertificates