안녕하세요. 이쁜이와 멋쟁이의 "BTC_준호" 입니다.
오늘은 RDS CA 인증서 교체 방법에 대해 이야기해보겠습니다.
관련 AWS Docs:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html
Rotating your SSL/TLS certificate - Amazon Relational Database Service
If you are using a Go version 1.15 application with a DB instance that was created or updated to the rds-ca-2019 certificate prior to July 28, 2020, you must update the certificate again. Update the certificate to rds-ca-rsa2048-g1, rds-ca-rsa4096-g1, or r
docs.aws.amazon.com
이번주 위 AWS Docs와 동일한 내용으로 이메일, AWS PHD알림을 받았습니다.
해당 내용은 Amazon RDS 인증 기관 인증서 rds-ca-2019는 2024년 8월에 만료되도록 설정되어 있으니 새 CA 인증서로 업데이트가 필요하다는 내용이었습니다
해당하는 RDS의 연결 & 보안 탭에서도 해당 이슈를 확인할 수 있습니다.
저는 아직 1년이나 시간이 남았지만 미리미리 CA 인증서를 업데이트 해주었습니다.
RDS CA 인증서 교체 방법을 아래에 서술하겠습니다.
1. 갱신이 필요한 RDS 인스턴스를 선택합니다.
2. 수정 > 연결 탭의 인증기관에서 CA 인증서를 변경할 수 있습니다.
AWS RDS는 시간이 지나면서 보안 표준과 요구 사항에 따라 새로운 CA 인증서를 제공하였습니다. 각 인증서 이름에 포함된 정보는 해당 인증서의 특성을 나타냅니다.
rsa2048: RSA 암호화 기법을 사용하며 키 크기가 2048비트인 인증서
rsa4096: RSA 암호화 기법을 사용하며 키 크기가 4096비트인 인증서
ecc384: 타원 곡선 암호화(Elliptic Curve Cryptography)를 사용하며 크기가 384비트인 인증서
어떤 인증서를 선택해야 하는지에 대해서는 애플리케이션의 보안 요구 사항, 성능 요구 사항 등을 고려하여 결정해야 합니다.
기존(rds-ca-2019)과 동일한 표준을 유지하려는 경우, ‘rds-ca-rsa2048-g1’ CA로 전환할 것을 권장드립니다.
이는 RSA 2048 비트 키를 기반으로 하는 최신 버전의 CA를 나타냅니다.
3. 계속을 누르시면 수정을 예약하시거나 즉시 적용하실 수 있습니다.
단, 여기서 주의사항이 있습니다.
또한 데이터베이스에서 CA 인증서 교체를 예약하기 전에 SSL/TLS 및 연결할 서버 인증서를 사용하는 모든 클라이언트 애플리케이션을 업데이트해야합니다. 이러한 업데이트는 DB 엔진에만 적용됩니다. CA 인증서 업데이트 이후 서비스의 정상작동 유무를 확인해야합니다.
이해가 어려운 부분이 있거나 추가로 알아보고 싶은 내용이 있다면 댓글로 언제든 질문해주시면 감사하겠습니다.
'CSP (Cloud Service Provider) > AWS' 카테고리의 다른 글
| VPC Endpoint와 S3 (0) | 2023.09.05 |
|---|---|
| [AWS] AWS CodeStar Connections (0) | 2023.09.01 |
| Boto3로 AWS 연동하기 (0) | 2023.09.01 |
| AWS RDS Subnet 이전 (0) | 2023.09.01 |
| [AWS] Amazon MQ (1) | 2023.08.31 |
댓글