안녕하세요. 그린주입니다 ๑'ٮ'๑
오늘도 힘차게 시작해 보겠습니다!
개요
이번 글에서는 AWS RDS 인증 기관(CA) 인증서 업데이트 하는 방법을 공유하고자 합니다.
목차
AWS RDS CA 인증서 만료
AWS RDS CA 인증서 확인
AWS RDS CA 인증서 업데이트
AWS RDS 인증서 만료
얼마 전 아래와 같은 이메일을 받게 되었습니다.
Amazon RDS에서
SSL/TLS를 사용하는 하나 이상의 DB 인스턴스의 CA 인증서가 곧 만료(24년 08월 22일)될 예정이기 때문에
기존 DB 인스턴스에 대한 연결 실패가 있기 전에 새로운 CA 인증서로 업데이트해야 한다라는 이메일입니다.
- RDS 내 SSL/TLS에 대한 지원
기본적으로 AWS RDS는 사용자들에게 보안접속을 제공하며,
이를 위해서 client(클라이언트)에서 DB에 접속 시, 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS)을 이용할 수 있도록 해줍니다.
이를 위해서 RDS는 자체적인 Certificate authorities(CA)라는 인증서를 이용하여
client(클라이언트)에서 SSL 혹은 TLS를 통한 보안접속을 시도 시, client(클라이언트)가 접속을 시도하는 방법은 신뢰할 수 있는 방법임을 각 인스턴스에 존재하는 DB server certificate에 인식시켜 줍니다.
AWS RDS CA 인증서 확인
- DB 인스턴스의 CA와 인증서
AWS RDS CA 인증서 rds-ca-2019는 2024년 8월에 만료 예정입니다.
SSL/TLS를 사용하여 RDS 데이터베이스에 연결하려는 경우와
인증서 확인과 함께 SSL/TLS를 사용하지 않는 경우에도 CA 인증서가 만료되었을 수 있기 때문에
새 CA 인증서로 교체(업데이트) 해야 합니다.
- 인증 기관(CA)
CA는 인증서 체인의 맨 위에 있는 루트 CA를 식별하는 인증서입니다.
CA는 각 DB 인스턴스에 설치된 DB 서버 인증서를 서명합니다.
DB 서버 인증서는 DB 인스턴스를 신뢰할 수 있는 서버로 식별합니다.
Amazon RDS는 DB 인스턴스의 DB 서버 인증서에 서명할 수 있는 다음 CA를 제공합니다.
rds-ca-rsa2048-g1, rds-ca-rsa4096-g1, rds-ca-ecc384-g1
CA를 데이터 베이스에 사용하면 RDS가 데이터베이스에서 DB 서버 인증서를 관리합니다.
RDS는 DB 서버 인증서가 만료되기 전에 자동으로 교체합니다.
사용 가능한 CA는 DB 엔진 및 DB 엔진 버전에 따라 다릅니다.
DB 서버 인증서의 유효기간은 DB 엔진 및 DB 엔진 버전에 따라 다릅니다.
DB 엔진 버전에서 재시작 없이 인증서를 교체하는 기능을 지원하는 경우 DB서버 인증서의 유효기간은 1년입니다.
그렇지 않으면 유효기간은 3년입니다.
AWS RDS CA 인증서 업데이트
다음 예제에서는 rds-ca-2019에서 rds-ca-rsa2048-g1로 CA 인증서를 업데이트합니다.
- DB 인스턴스를 수정하여 CA 인증서 업데이트
AWS RDS 탐색 창에서 [데이터베이스]를 선택합니다. 변경하려는 [DB 인스턴스]를 선택 후 [수정]을 선택합니다.
연결 > 인증 기관에서 사용 가능한 [새 CA 인증서]를 선택합니다.
저는 기본값 [rds-ca-rsa2048-g1]로 선택했습니다.
다음 페이지 수정 예약에서 [즉시 적용]으로 선택 후 [수정]을 완료합니다.
[예약된 다음 유지 관리 기간에 적용]을 선택할 경우 다음 유지 관리 기간에 따른 인증 교체를 예약할 수 있습니다.
- 유지 관리를 적용하여 CA 인증서 업데이트
AWS RDS 탐색 창에서 [인증서 업데이트]를 선택합니다. 인증서 업데이트가 필요한 데이터베이스 페이지가 표시됩니다.
업데이트할 [DB 인스턴스]를 선택 후 [지금 적용]을 선택하여 즉시 교체를 적용합니다.
[일정]을 선택할 경우 다음 유지 관리 기간에 따른 인증 교체를 예약할 수 있습니다.
사용 가능한 [새 CA 인증서]를 선택한 다음 [확인]을 선택합니다.
업데이트 후에는 꼭 DB 접속과 웹에서 데이터가 잘 나오는지 테스트해 보시길 바랍니다.
마무리
이렇게 AWS RDS 인증 기관(CA) 인증서 업데이트 방법에 대해 적어보았습니다.
다들 업데이트하셨을까요?? 끝까지 파이팅입니다!
긴 글 봐주셔서 감사합니다!
오늘도 행복한 하루 보내세요 ✿'◡'✿
참고
SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화
'🌜 Server > AWS & Linux' 카테고리의 다른 글
No space left on device / AWS 볼륨 확장 ( AWS / EC2 / Linux ) (0) | 2022.10.21 |
---|---|
umount: Mounted: target is busy ( Linux ) (0) | 2022.08.26 |
AWS에서 보안(TLS) 프로토콜 버전 수정(TLS 1.0과 TLS 1.1 비활성화) 및 보안 구성 테스트 방법 ( AWS / EC2 / Load balancers / Qualys ) (0) | 2022.07.04 |
nohup 사용법과 nohup.out 파일 명 변경, 로그 없이, 날짜 별로 rotation 하는 방법 ( Linux ) (4) | 2022.01.27 |
Cron 표현식( Linux ) (0) | 2022.01.27 |