BLOG

[긴급/중요공지] Amazon RDS, Aurora, DocumentDB 인증서 교체
작성일: 2020년 2월 7일

이전에 AWS는 2020년 2월 5일과 3월 5일 사이에 RDS가 RDS 데이터베이스 인스턴스를 다시 시작하지 않고 자동으로 새로운 인증서로 변경되도록 준비할 예정이라고 전달했었습니다. 이후 AWS는 고객의 피드백을 고려하여 고객에게 업데이트를 완료할 수 있는 시간을 최대한 드리기 위해 2020년 3월 5일 이전에 RDS는 데이터베이스 인증서를 자동으로 준비하거나 업데이트하지 않을 예정이라고 합니다. 

즉, 2020년 3월 5일까지 새로운 CA 인증서를 사용하기 위한 애플리케이션과 데이터베이스를 업데이트할 수 있습니다.

이미 이메일을 받아보시거나, AWS 콘솔 공지를 보신 분 들도 있겠지만 다시 한번 알려드립니다.

 

 

인증서를 업데이트해야 하나요?

만약 지금 Amazon AuroraAmazon Relational Database Service (RDS), or Amazon DocumentDB (with MongoDB compatibility)를 사용하고 데이터베이스 인스턴스 연결시에 SSL/TLS 인증서 검증을 활용하는 경우이시라면, 새로운 인증서를 다운로드 및 설치해야 하며, 인스턴스의 인증기관(CA)를 교체한 다음 인스턴스를 재부팅하셔야 합니다.

 

만약 SSL/TLS 연결 또는 유효한 인증검사를 사용하지 않으시는 경우라면 업데이트할 필요가 없습니다. 하지만 나중에 SSL/TLS 연결을 사용할 예정이시라면 업데이트 하시는 것을 추천 드립니다. 이 경우에는 재 시작을 하지 않아도 되는 새로운 CLI 옵션을 사용할 수 있습니다.

 

새로운 인증서(CA-2019)는 기존의 인증서인(CA-2015)를 포함하는 인증서 번들의 한 부분으로 어떤 걸 사용할지에 대한 고민 없이 전환이 가능합니다.

 

 

언제부터 가능하고, 언제까지 해야하죠?

RDS, Aurora, Amazon DocumentDB의 SSL/TLS 인증서는 매 5년마다 만료되며 교체되어야 합니다. 아래 중요 날짜들을 참고 부탁드립니다.

 

2019년 9월 19일 – CA-2019 인증서 출시

2020년 1월 14일 – 이 날짜 이후에 생성된 인스턴스에 대하여 새로운 인증서가 적용되며 필요하다면 일시적으로 예전 인증서로 바꿀 수 있습니다.

2020년 2월 5일 – 3월 5일 – RDS는 기존 인스턴스에서 새로운 인증서를 설치해야 합니다. (설치하지만 활성화 하지 않음) 인스턴스를 다시 시작하면 인증서가 활성화 될 것입니다.

2020년 3월 5일 – CA-2015 인증서가 만료됩니다. 인증서 검증은 가능하지만 업데이트되지 않은 어플리케이션은 연결이 끊어질 것입니다.

 

 

업데이트는 어떻게 하나요?

이 공지사항을 위해 이번달 초에 Amazon RDS for MySQL을 만들었으며 아래의 스크린 샷 에서 확인할 수 있듯이, RDS 콘솔은 인증서 업데이트를 수행해야 함을 알려줍니다.

Using SSL/TLS to Encrypt a Connection to a DB Instance에 방문하여 새로운 인증서를 다운로드

합니다. 만약 데이터베이스 클라이언트가 인증서 체인을 다루는 방법을 알고 있다면

루트 인증서를 다운받아 모든 리전에 사용할 수 있습니다. 만약 그렇지 않은 경우

데이터베이스 인스턴스가 존재하는 특정 리전에 대한 고유한 인증서를 다운로드 합니다.

저는 예전 루트 인증서와 새로운 루트 인증서가 모두 포함된 번들을 다운로드 하였습니다.

다음 단계로는 새로운 인증서를 사용할 수 있도록 클라이언트 응용프로그램을 업데이트 합니다. 이 프로세스는 각각의 앱 및 각각의 데이터베이스 Client Labrary에 따라 다르므로 세부 사항을 다루지는 않겠습니다.

 

클라이언트 응용 프로그램이 업데이트 되고 난 후에는 새로운 인증기관(CA)인 rds-ca-2019로 인증서를 교체합니다. 콘솔에서 인스턴스를 변경할 수 있으며 새로운 CA를 선택하시면 됩니다.

CLI 통하여 작업을 수행할 수도 있습니다.

$ aws rds modify-db-instance –db-instance-identifier database-1 \

–ca-certificate-identifier rds-ca-2019

다음 maintenance window 기간 동안 변경사항이 적용될 것이며 바로 적용도 가능합니다.

$ aws rds modify-db-instance –db-instance-identifier database-1 \

–ca-certificate-identifier rds-ca-2019 –apply-immediately

인스턴트 재 부팅 후(바로 적용하거나 maintenance window 기간 동안) 어플리케이션을 테스트하여 잘 작동되는지 확인합니다.

 

 

만약 SSL을 사용하지 않는고 재부팅 하는 것을 원하지 않을 때는 –no-certificate-rotation-restart: 을 사용합니다.

$ aws rds modify-db-instance –db-instance-identifier database-1 \

–ca-certificate-identifier rds-ca-2019 –no-certificate-rotation-restart

데이터베이스 엔진은 다음번 재부팅이나 계획되지 않은 재부팅에 중에 새로운 인증서를 선택합니다.

RDS ModifyDBInstance API function 또는 CloudFormaiton 템플릿을 사용하여 인증기관을 변경할 수 있습니다.

다시 한번 말씀 드리지만, 이 모든 것들은 2020년 3월 5일까지 모두 진행 되어야 하며, 그렇지 않을 경우 SSL이나 TLS를 사용하여 데이터베이스 인스턴스에 연결하지 못할 수 있습니다.

 

참고 사항

아래의 중요한 내용들을 참고해 주십시오.

 

Amazon Aurora ServerlessAWS Certificate Manager (ACM)을 사용하여 데이터베이스 엔진에 대한 인증서 교체를 관리하고 별도의 조치가 필요하지 않습니다.

해당 리전 정보 – Asia Pacific(홍콩), Middle East(바레인) 그리고 China(Ningxia)를 제외한 모든 상업용 AWS 지역에서 데이터베이스 인스턴스에 대한 교체가 필요합니다.

클러스터 크기 조정 – 만약 기존 클러스터에 추가를 원한다면 기존 노드 중 한 개 이상이 이미 CA-2019가 존재 할 때, 새 노드는 CA-2019 인증서를 받게되며, 그렇지 않은 경우에는 CA-2015 인증서가 사용될 것입니다.

 

추가 정보

추가적인 정보가 필요할 시 아래 링크를 확인해 주세요.

 


 

원문 URL:https://aws.amazon.com/ko/blogs/aws/urgent-important-rotate-your-amazon-rds-aurora-and-documentdb-certificates/

 

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 개제하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달드리도록 하겠습니다.