You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
これは、SSL/TLS CA 証明書の有効期限に関するフォローアップ通知です。もしこの対応を完了しているにも関わらず、本通知を受け取っている場合は、2019 CA を使用して新しいインスタンスを作成したことが原因と考えられます。新しく作成されたインスタンスで、別の CA を明示的に指定していないものはすべて、デフォルトが rds-ca-rsa2048-g1 に切り替えられる 2024 年 1 月 25 日まで 2019 CA を使用します。アカウントレベルの CA のオーバーライドの設定については、modify-certificates API ドキュメント [1] を参照してください。
まず、アプリケーションクライアントを新しい証明書で更新します。アプリケーションクライアントがトラストストアを使用している場合は、新しい CA 証明書をクライアントアプリケーションのトラストストアに追加します。RDS では、CA 証明書へのダウンロードリンクを、こちら [2] で提供しています。クライアントアプリケーションのトラストストアを更新する詳細な手順については、[3] を参照してください。
次に、影響を受けるすべてのデータベースインスタンスの証明書を、新しく発行された CA のいずれかに更新します。rds-ca-rsa2048-g1 は、アルゴリズム変更がないため、デフォルトで推奨されている CA です。他の CA は新しいキーアルゴリズムを使用しているため、互換性を確認するためにクライアント設定のテストがさらに必要になる可能性があります。新しい CA の詳細については、[4] を参照してください。
さらに、2019 CA は依然としてデフォルト CA であるため、新しいインスタンスが新しい CA のいずれかを使用するように、アカウントレベルの CA のオーバーライドを設定する必要があります。これを行うには、新しく作成されたデータベースインスタンスのデフォルト CA を古い CA または新しい CA にオーバーライドできる modify-certificates API を使用できます。このオーバーライドは、オーバーライドする CA が有効な場合にのみ適用されます。この API を使用するには、AWS CLI バージョンが 1.17 以降である必要があります。詳細については、modify-certificates API ドキュメント [1] を参照してください。また、デフォルト CA のオーバーライドが設定されているかどうかを確認するためには describe-certificates API [5] を参照してください。インスタンスの作成時に特定の CA を指定するには、create-db-instance API の ca-certificate-identifier オプションをご使用ください。詳細については、create-db-instance API ドキュメント [6] を参照してください。
現在から 2024 年 8 月 22 日まで: クライアントのトラストストアはいつでも更新できます。その後、インスタンスのサーバー証明書を、新しい CA のいずれかで生成されたものに更新できます。
現在から 2024 年 1 月 25 日まで: create-db-instance API の ca-certificate-identifier オプションで別の CA を指定するか、上記のセクションで説明したようにアカウントにデフォルト CA オーバーライドを指定しない限り、新しい DB インスタンスにはデフォルトで 2019 CA が割り当てられます。
いつもお世話になっております。
このメッセージを受け取っているのは、お客様の AWS アカウントに、2024 年 8 月 22 日に有効期限が切れる SSL/TLS 証明書を使用する Amazon RDS または Amazon Aurora データベースインスタンスが AP-NORTHEAST-1 リージョンに 1 つ以上あるためです。
これは、SSL/TLS CA 証明書の有効期限に関するフォローアップ通知です。もしこの対応を完了しているにも関わらず、本通知を受け取っている場合は、2019 CA を使用して新しいインスタンスを作成したことが原因と考えられます。新しく作成されたインスタンスで、別の CA を明示的に指定していないものはすべて、デフォルトが rds-ca-rsa2048-g1 に切り替えられる 2024 年 1 月 25 日まで 2019 CA を使用します。アカウントレベルの CA のオーバーライドの設定については、modify-certificates API ドキュメント [1] を参照してください。
アプリケーションが Secure Sockets Layer (SSL) または Transport Layer Security (TLS) プロトコルを使用してこれらのインスタンスに接続する場合、既存のデータベースインスタンスへの接続障害を防ぐため、2024 年 8 月 22 日までにアクションを実行する必要があります。接続に現在 SSL を使用していない場合でも、データベースサーバー証明書の有効期限が切れると影響を受ける可能性があるため、CA を更新することをお勧めします。
データベースインスタンスとの通信を保護するため、認証局 (CA) は期限付きの証明書を生成します。この証明書はデータベースクライアントソフトウェアによって確認され、情報を交換する前にデータベースインスタンスの認証が行われます。業界のベストプラクティスに従い、AWS は CA を更新し、定期的に新しい証明書を作成します。これにより、お客様の接続が今後何年にもわたって適切に保護されるようになります。AP-NORTHEAST-1 の現在の認証局は 2024 年 8 月 22 日に失効します。この日より前に、DB サーバーの証明書を更新する必要があります。更新における一般的なプロセスを以下にご案内します。
まず、アプリケーションクライアントを新しい証明書で更新します。アプリケーションクライアントがトラストストアを使用している場合は、新しい CA 証明書をクライアントアプリケーションのトラストストアに追加します。RDS では、CA 証明書へのダウンロードリンクを、こちら [2] で提供しています。クライアントアプリケーションのトラストストアを更新する詳細な手順については、[3] を参照してください。
次に、影響を受けるすべてのデータベースインスタンスの証明書を、新しく発行された CA のいずれかに更新します。rds-ca-rsa2048-g1 は、アルゴリズム変更がないため、デフォルトで推奨されている CA です。他の CA は新しいキーアルゴリズムを使用しているため、互換性を確認するためにクライアント設定のテストがさらに必要になる可能性があります。新しい CA の詳細については、[4] を参照してください。
さらに、2019 CA は依然としてデフォルト CA であるため、新しいインスタンスが新しい CA のいずれかを使用するように、アカウントレベルの CA のオーバーライドを設定する必要があります。これを行うには、新しく作成されたデータベースインスタンスのデフォルト CA を古い CA または新しい CA にオーバーライドできる modify-certificates API を使用できます。このオーバーライドは、オーバーライドする CA が有効な場合にのみ適用されます。この API を使用するには、AWS CLI バージョンが 1.17 以降である必要があります。詳細については、modify-certificates API ドキュメント [1] を参照してください。また、デフォルト CA のオーバーライドが設定されているかどうかを確認するためには describe-certificates API [5] を参照してください。インスタンスの作成時に特定の CA を指定するには、create-db-instance API の ca-certificate-identifier オプションをご使用ください。詳細については、create-db-instance API ドキュメント [6] を参照してください。
これらの更新を行う方法の詳細については、Amazon RDS インスタンス [7] と Amazon Aurora インスタンス [8] のドキュメントを参照してください。
以下のタイムラインにご注意ください。
現在から 2024 年 8 月 22 日まで: クライアントのトラストストアはいつでも更新できます。その後、インスタンスのサーバー証明書を、新しい CA のいずれかで生成されたものに更新できます。
現在から 2024 年 1 月 25 日まで: create-db-instance API の ca-certificate-identifier オプションで別の CA を指定するか、上記のセクションで説明したようにアカウントにデフォルト CA オーバーライドを指定しない限り、新しい DB インスタンスにはデフォルトで 2019 CA が割り当てられます。
2024 年 1 月 26 日以降: 新しいデータベースインスタンスはすべてデフォルトで rds-ca-rsa2048-g1 証明書を使用するようになります。新しいインスタンスで別の証明書を使用する場合は、AWS コンソールまたは AWS CLI でどの証明書を使用するかを指定できます。詳細については、create-db-instance API ドキュメント [6] を参照してください。
2024 年 8 月 22 日以降: 2019 CA の有効期限が切れます。既存のデータベースインスタンスへの接続障害を防ぐために、2024 年 8 月 22 日までにアクションを実行する必要があります。
質問や懸念がある場合は、AWS サポート [9] にお問い合わせください。
[1] https://docs.aws.amazon.com/cli/latest/reference/rds/modify-certificates.html
[2] https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html#UsingWithRDS.SSL.CertificatesAllRegions
[3] https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html#UsingWithRDS.SSL-certificate-rotation-updating
[4] https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html#UsingWithRDS.SSL.RegionCertificateAuthorities
[5] https://docs.aws.amazon.com/cli/latest/reference/rds/describe-certificates.html
[6] https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html
[7] https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html
[8] https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL-certificate-rotation.html
[9] https://console.aws.amazon.com/support/home
影響を受けるリソースのリストは次のとおりです。
arn:aws:rds:ap-northeast-1:607167088920:db:dreamkast-prod-rds
The text was updated successfully, but these errors were encountered: