SSL 연결을 위해 ACM 인증서로 이전

Amazon Redshift는 클러스터의 SSL 인증서를 AWS Certificate Manager(ACM)가 발급한 인증서로 바꿉니다. ACM은 대부분의 최신 시스템에서 신뢰하는 퍼블릭 인증 기관(CA)입니다. 계속해서 SSL을 사용하여 클러스터에 연결하려면 현재 신뢰하는 루트 CA 인증서를 업데이트해야 할 수 있습니다.

이러한 변경은 다음 사항이 모두 적용되는 경우에만 영향을 미칩니다.

• SQL 클라이언트 또는 애플리케이션이 sslMode 연결 옵션이 require, verify-ca 또는 verify-full 구성 옵션으로 설정된 상태에서 SSL을 사용해 Amazon Redshift 클러스터에 연결합니다.

• Amazon Redshift ODBC 또는 JDBC 드라이버를 사용하지 않거나 ODBC 버전 1.3.7.1000 또는 JDBC 버전 1.2.8.1005 이전의 Amazon Redshift 드라이버를 사용하고 있습니다.

이 변경 사항이 상용 Amazon Redshift 리전에서 영향을 미치는 경우 현재 신뢰하는 루트 CA 인증서를 2017년 10월 23일 이전에 업데이트해야 합니다. Amazon Redshift는 지금~2017년 10월 23일 사이에 ACM 인증서를 사용하도록 클러스터를 이전할 예정입니다. 이 변경은 클러스터의 성능 또는 가용성에 거의 또는 아예 영향을 미치지 않을 것입니다.

이 변경 사항이 AWS GovCloud (US)(미국) 리전에 영향을 미치는 경우 서비스 중단을 방지하기 위해 현재 신뢰하는 루트 CA 인증서를 2020년 4월 1일 이전에 업데이트해야 합니다. 이 날짜부터 SSL 암호화 연결을 사용하여 Amazon Redshift 클러스터에 연결하는 클라이언트에는 신뢰할 수 있는 인증 기관(CA)이 추가로 필요합니다. 클라이언트는 신뢰할 수 있는 인증 기관을 사용하여 Amazon Redshift 클러스터에 연결할 때 클러스터의 자격 증명을 확인합니다. 새로운 신뢰할 수 있는 CA가 포함된 업데이트된 인증서 번들을 사용하도록 SQL 클라이언트 및 애플리케이션을 업데이트하려면 작업이 필요합니다.

중요

2021년 1월 5일 중국 리전에서 Amazon Redshift는 클러스터의 SSL 인증서를 AWS Certificate Manager(ACM)가 발급한 인증서로 바꿉니다. 이 변경 사항이 중국(베이징) 리전 또는 중국(닝샤) 리전에 영향을 미치는 경우 서비스 중단을 방지하기 위해 현재 신뢰하는 루트 CA 인증서를 2021년 1월 5일 전에 업데이트해야 합니다. 이 날짜부터 SSL 암호화 연결을 사용하여 Amazon Redshift 클러스터에 연결하는 클라이언트에는 신뢰할 수 있는 인증 기관(CA)이 추가로 필요합니다. 클라이언트는 신뢰할 수 있는 인증 기관을 사용하여 Amazon Redshift 클러스터에 연결할 때 클러스터의 자격 증명을 확인합니다. 새로운 신뢰할 수 있는 CA가 포함된 업데이트된 인증서 번들을 사용하도록 SQL 클라이언트 및 애플리케이션을 업데이트하려면 작업이 필요합니다.

• 최신 Amazon Redshift ODBC 또는 JDBC 드라이버 사용

• 이전 Amazon Redshift ODBC 또는 JDBC 드라이버 사용

• 다른 SSL 연결 유형 사용

최신 Amazon Redshift ODBC 또는 JDBC 드라이버 사용

최신 Amazon Redshift ODBC 또는 JDBC 드라이버를 사용하는 것이 가장 기본적인 방법입니다. ODBC 버전 1.3.7.1000 및 JDBC 버전 1.2.8.1005부터 시작하는 Amazon Redshift 드라이버는 Amazon Redshift 자체 서명 인증서에서 ACM 인증서로의 이전을 자동으로 관리합니다. 최신 드라이버를 다운로드하려면 ODBC 연결 구성 또는 Amazon Redshift용 JDBC 드라이버 버전 2.1 연결 구성 섹션을 참조하세요.

최신 Amazon Redshift JDBC 드라이버를 사용하는 경우 JVM 옵션에서 -Djavax.net.ssl.trustStore를 사용하지 않는 것이 가장 좋습니다. -Djavax.net.ssl.trustStore를 사용해야 하는 경우에는 Redshift 인증 기관 번들을 이 번들이 가리키는 truststore로 가져옵니다. 다운로드 정보는 SSL을 사용해 연결하기 섹션을 참조하세요. 자세한 내용은 Amazon Redshift 인증 기관 번들을 TrustStore로 가져오기 섹션을 참조하세요.

이전 Amazon Redshift ODBC 또는 JDBC 드라이버 사용

• SSLCertPath를 사용하여 ODBC DSN을 구성한 경우 지정된 경로에 있는 인증서 파일을 덮어 씁니다.

• SSLCertPath가 설정되어 있지 않은 경우 드라이버 DLL 위치에 있는 root.crt라는 인증서 파일을 덮어 씁니다.

1.2.8.1005보다 이전 버전의 Amazon Redshift JDBC 드라이버를 사용해야 하는 경우 다음 중 하나를 수행하세요.

• JDBC 연결 문자열이 sslCert 옵션을 사용하는 경우 sslCert 옵션을 제거합니다. 그런 다음 Redshift 인증 기관 번들을 Java TrustStore로 가져옵니다. 다운로드 정보는 SSL을 사용해 연결하기 섹션을 참조하세요. 자세한 내용은 Amazon Redshift 인증 기관 번들을 TrustStore로 가져오기 섹션을 참조하세요.

• Java 명령줄 -Djavax.net.ssl.trustStore 옵션을 사용하는 경우 가능하면 명령줄에서 이 옵션을 제거합니다. 그런 다음 Redshift 인증 기관 번들을 Java TrustStore로 가져옵니다. 다운로드 정보는 SSL을 사용해 연결하기 섹션을 참조하세요. 자세한 내용은 Amazon Redshift 인증 기관 번들을 TrustStore로 가져오기 섹션을 참조하세요.

Amazon Redshift 인증 기관 번들을 TrustStore로 가져오기

redshift-keytool.jar를 사용하여 Amazon Redshift 인증 기관 번들에 들어 있는 CA 인증서를 Java TrustStore 또는 프라이빗 TrustStore로 가져올 수 있습니다.

Amazon Redshift 인증 기관 번들을 TrustStore로 가져오려면

1. redshift-keytool.jar를 다운로드합니다.

2. 다음 중 하나를 수행하십시오.

   • Amazon Redshift 인증 기관 번들을 Java TrustStore로 가져오려면 다음 명령을 실행합니다.

     java -jar redshift-keytool.jar -s

   • Amazon Redshift 인증 기관 번들을 프라이빗 TrustStore로 가져오려면 다음 명령을 실행합니다.

     java -jar redshift-keytool.jar -k <your_private_trust_store> -p <keystore_password> 

다른 SSL 연결 유형 사용

다음 중 하나를 사용하여 연결하는 경우 이 섹션의 단계를 따르세요.

• 오픈 소스 ODBC 드라이버

• 오픈 소스 JDBC 드라이버

• Amazon Redshift RSQL 명령줄 인터페이스

• libpq 기반으로 하는 모든 언어 바인딩(예: psycopg2(Python) 및 ruby-pg (Ruby))

다른 SSL 연결 유형을 사용하여 ACM 인증서를 사용하려면:

1. Amazon Redshift 인증 기관 번들을 다운로드합니다. 다운로드 정보는 SSL을 사용해 연결하기 섹션을 참조하세요.

2. 번들의 인증서를 root.crt 파일에 넣습니다.

   • Linux 및 macOS X 운영 체제에서 이 파일은 ~/.postgresql/root.crt입니다.

   • Microsoft Windows에서는 %APPDATA%\postgresql\root.crt입니다.