AWS RDS의 Certificate Authority (CA) 알아보기

베하! 안녕하세요~
BTC_수신자표시제한 입니다 😊

 

---

최근 AWS의 Health events를 확인하던 중

Amazon RDS 인증 기관 인증서 rds-ca-2019가 2024년 만료 예정이라는 Event Notifications을 확인하였습니다. 

 

해당 알림을 확인하고 AWS RDS의 CA에 대해 찾아본 내용을 공유해보고자 합니다. 

 

Certificate Authority (CA)

• 인증 기관(Certificate Authority, CA)은 다른 곳에서 사용하기 위한 디지털 인증서를 발급하는 하나의 단위입니다. 인증 기관은 많은 공개 키 기반구조(PKI, public key infrastructure)에 설명되어 있습니다. CA는 신뢰할 수 있는 조직으로, 웹사이트와 다른 엔티티에 대한 디지털 인증서를 발행합니다.
• CA는 웹사이트 도메인을 검증하고, 인증서의 종류에 따라 웹사이트의 소유권을 검증한 후, 크롬, 사파리, 파이어폭스와 같은 웹 브라우저가 신뢰하는 TLS/SSL 인증서를 발행합니다.
• AWS RDS에서는 CA를 사용하여 각 DB 인스턴스에 설치된 DB 서버 인증서를 서명합니다. 이렇게 서명된 DB 서버 인증서는 DB 인스턴스를 신뢰할 수 있는 서버로 식별하는 역할을 합니다.

 

AWS RDS에서 제공하는 CA
AWS RDS는 DB 인스턴스의 DB 서버 인증서를 서명하기 위해 다음과 같은 CA를 제공합니다:

• rds-ca-2019: RSA 2048 개인 키 알고리즘과 SHA256 서명 알고리즘을 사용하는 인증 기관입니다. 이 CA는 2024년에 만료되며, 자동 서버 인증서 회전을 지원하지 않습니다.
• rds-ca-rsa2048-g1: 대부분의 AWS 지역에서 RSA 2048 개인 키 알고리즘과 SHA256 서명 알고리즘을 사용하는 인증 기관입니다. AWS GovCloud (US) 지역에서는 이 CA가 RSA 2048 개인 키 알고리즘과 SHA384 서명 알고리즘을 사용하는 인증 기관입니다. 이 CA는 rds-ca-2019 CA보다 더 오래 유효하며, 자동 서버 인증서 회전을 지원합니다.
• rds-ca-rsa4096-g1: RSA 4096 개인 키 알고리즘과 SHA384 서명 알고리즘을 사용하는 인증 기관입니다. 이 CA는 자동 서버 인증서 회전을 지원합니다.
• rds-ca-ecc384-g1: ECC 384 개인 키 알고리즘과 SHA384 서명 알고리즘을 사용하는 인증 기관입니다.

 

DB instance certificate expiration date

DB instance certificate expiration date는 DB 인스턴스의 SSL/TLS 연결을 보호하는 데 사용되는 인증서의 만료 날짜를 나타냅니다. 이 날짜가 지나면 RDS DB 인스턴스나 Aurora DB 클러스터에 연결할 수 없게 됩니다.

 

AWS에서는 보안 모범 사례로 새로운 CA 인증서를 제공하며, 이를 사용하여 RDS DB 인스턴스에 연결하려면 SSL/TLS와 함께 인증서 검증을 사용하거나 계획해야 합니다. 현재 SSL/TLS와 함께 인증서 검증을 사용하지 않더라도 만료된 CA 인증서가 있을 수 있으므로, RDS 데이터베이스에 SSL/TLS와 함께 인증서 검증으로 연결하려면 새로운 CA 인증서로 업데이트해야 합니다.
DB 인스턴스를 새로운 CA 인증서로 업데이트하기 전에 RDS 데이터베이스에 연결하는 클라이언트나 응용 프로그램을 업데이트해야 합니다. 또한, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1 또는 rds-ca-ecc384-g1와 같은 새로운 CA를 사용하면, RDS는 DB 서버 인증서를 만료 전에 자동으로 회전시킵니다.

 

---

이상으로 AWS RDS의 Certificate Authority (CA)에 대해 간략히 소개드렸습니다.

다음 시간에는 다른 주제로 찾아뵙겠습니다.

도움이 되셨으면 좋겠습니다.😊

다음에 또 만나요 👋