Lightsail 데이터베이스의 CA 인증서 버전을 업데이트하십시오. - Amazon Lightsail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lightsail 데이터베이스의 CA 인증서 버전을 업데이트하십시오.

Amazon Lightsail은 /를 사용하여 관리형 데이터베이스에 연결하기 위한 새로운 인증 기관 (CA) 인증서를 게시했습니다. SSL TLS 이 가이드에서는 새 CA 인증서로 업그레이드하는 방법을 설명합니다. update-relational-databaseAPI작업을 사용해야만 인증서를 업그레이드할 수 있습니다. 새 인증서를rds-ca-rsa2048-g1,rds-ca-rsa4096-g1, 라고 합니다rds-ca-ecc384-g1. 이전 인증서를 다음과 같이 합니다rds-ca-2019. 당사는 AWS 보안 모범 사례로 CA 인증서를 제공합니다. 관리형 데이터베이스의 CA 인증서 및 지원되는 AWS 리전인증서에 대한 자세한 내용은 관리형 데이터베이스의 SSL 인증서 다운로드를 참조하십시오.

이전 CA 인증서 (rds-ca-2019) 는 2024년 8월 22일에 만료됩니다. 따라서 새 인증서를 사용하도록 관리형 데이터베이스를 수정하기 위해 가능한 빨리 이 안내서의 단계를 완료하는 것이 좋습니다. 애플리케이션이 TLS /를 SSL 사용하여 Lightsail 관리형 데이터베이스에 연결되지 않는 경우 별도의 조치가 필요하지 않습니다. 이 단계를 완료하지 않으면 2024년 8월 22일 TLS 이후 애플리케이션이 SSL /를 사용하여 관리형 데이터베이스에 연결하지 못합니다.

2024년 1월 26일 이후에 생성된 새 관리형 데이터베이스는 기본적으로 rds-ca-rsa2048-g1 인증서를 사용합니다. 새 관리형 데이터베이스를 임시로 수정하여 이전 인증서 (rds-ca-2019) 를 사용하려면 AWS Command Line Interface (AWS CLI) 를 사용하면 됩니다. 2024년 1월 26일 이전에 만든 모든 관리형 데이터베이스는, rds-ca-rsa2048-g1rds-ca-rsa4096-g1, 인증서로 업데이트할 때까지 rds-ca-2019 rds-ca-ecc384-g1 인증서를 사용합니다.

참고

프로덕션 환경에서 사용하기 전에 개발 또는 스테이징 환경에서 이 안내서의 단계를 테스트하십시오.

사전 조건

  • 이 절차의 단계를 완료하기 전에 새SSL/TLS인증서를 사용하도록 데이터베이스 클라이언트 애플리케이션을 업데이트하십시오.

    새SSL/TLS인증서에 대한 응용 프로그램을 업데이트하는 방법은 특정 응용 프로그램에 따라 다릅니다. 애플리케이션 개발자와 협력하여 애플리케이션의SSL/TLS인증서를 업데이트하세요. 애플리케이션에서 새SSL/TLS인증서를 업데이트하는 방법에 대한 자세한 내용은 Amazon Relational Database Service 사용 설명서의 새SSL/TLS인증서를 사용하여 내 SQL DB 인스턴스에 연결하기 위한 애플리케이션 업데이트 또는 새 SSL TLS /인증서를 사용하여 Postgre SQL DB 인스턴스에 연결하도록 애플리케이션 업데이트를 참조하십시오.

  • 이 안내서에서는 업그레이드를 수행하는 AWS CloudShell 데 사용합니다. CloudShell Lightsail 콘솔에서 직접 실행할 수 있는 브라우저 기반의 사전 인증된 셸입니다. 를 사용하면 Bash CloudShell, 또는 Z 셸과 같은 원하는 셸을 사용하여 AWS Command Line Interface (AWS CLI) 명령을 실행할 수 있습니다. PowerShell 명령줄 도구를 다운로드하거나 설치할 필요 없이 이 작업을 수행할 수 있습니다. 설정 및 사용 CloudShell 방법에 대한 자세한 내용은 AWS CloudShell Lightsail을 참조하십시오.

관리형 데이터베이스의 활성 CA 인증서를 식별하십시오.

Lightsail 데이터베이스 인스턴스의 활성 CA 인증서를 식별하려면 다음 단계를 완료하십시오.

  1. 터미널 또는 명령 프롬프트 창을 엽니다. AWS CloudShell

  2. 다음 명령을 입력하여 관리형 데이터베이스의 활성 CA 인증서를 식별합니다.

    aws lightsail get-relational-database --relational-database-name DatabaseName --region DatabaseRegion | grep "caCertificateIdentifier"

    명령에서 다음을 대체합니다.DatabaseName 수정하려는 데이터베이스의 이름을 입력하고 DatabaseRegion 데이터베이스 인스턴스가 들어 있는 AWS 리전 것과 함께

    aws lightsail get-relational-database --relational-database-name Database-1 --region us-east-1 | grep "caCertificateIdentifier"

    이 명령은 데이터베이스의 활성 CA 인증서 ID를 반환합니다.

    "caCertificateIdentifier": "rds-ca-rsa2048-g1"

새 CA 인증서를 사용하도록 관리형 데이터베이스 수정

새 CA 인증서 rds-ca-rsa2048-g1 (rds-ca-rsa4096-g1, 및) 중 하나를 사용하도록 Lightsail에서 관리형 데이터베이스를 수정하려면 다음 단계를 완료하십시오. rds-ca-ecc384-g1

중요

데이터베이스의 CA 인증서를 업데이트하기 전에 CA 인증서를 사용하는 모든 클라이언트 애플리케이션을 업데이트하십시오.

  1. 터미널 또는 명령 프롬프트 창을 엽니다. AWS CloudShell

  2. 다음 명령을 입력하여 관리형 데이터베이스에서 새 인증서를 사용합니다.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-rsa2048-g1

    명령에서 다음을 대체합니다.DatabaseName 수정하려는 데이터베이스의 이름을 입력하고 DatabaseRegion 데이터베이스 인스턴스가 들어 있는 AWS 리전 것과 함께

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-rsa2048-g1

    관리 대상 데이터베이스에서 사용하는 CA 인증서는 데이터베이스의 다음 유지 관리 기간에 업데이트되거나 명령 끝에 --apply-immediately 매개 변수를 추가하는 경우 즉시 업데이트됩니다.

이전 CA 인증서를 사용하도록 관리형 데이터베이스 수정

이전 CA 인증서 () 를 사용하도록 Lightsail에서 관리형 데이터베이스를 수정하려면 다음 단계를 완료하십시오. rds-ca-2019 새 인증서 (rds-ca-rsa2048-g1,rds-ca-rsa4096-g1,rds-ca-ecc384-g1) 중 하나에 심각한 문제가 발생하여 이전 인증서를 일시적으로 되돌려야 하는 경우에만 이 작업을 수행하십시오.

중요

데이터베이스의 CA 인증서를 업데이트하기 전에 CA 인증서를 사용하는 모든 클라이언트 애플리케이션을 업데이트하십시오.

  1. 터미널 또는 명령 프롬프트 창을 엽니다. AWS CloudShell

  2. 다음 명령을 입력하여 관리형 데이터베이스에서 rds-ca-2019를 사용합니다.

    aws lightsail update-relational-database --relational-database-name DatabaseName --region DatabaseRegion --ca-certificate-identifier rds-ca-2019

    명령에서 다음을 대체합니다.DatabaseName 수정하려는 데이터베이스의 이름을 입력하고 DatabaseRegion 데이터베이스 인스턴스가 들어 있는 AWS 리전 것과 함께

    aws lightsail update-relational-database --relational-database-name Database-1 --region us-east-1 --ca-certificate-identifier rds-ca-2019

    관리 대상 데이터베이스에서 사용하는 CA 인증서는 데이터베이스의 다음 유지 관리 기간에 업데이트되거나 명령 끝에 --apply-immediately 매개 변수를 추가하는 경우 즉시 업데이트됩니다.