최근 이메일로 "2024년 8월 22일까지 Amazon RDS and Amazon Aurora SSL/TLS 인증서를 업데이트하세요."라는 메일이 왔다. SSL/TLS CA 인증 만료에 대한 알림이다. 일반적으로 SSL/TLS에 사용되는 인증서는 설정된 수명이 있다고 한다. 이 것을 해결하지 않으면 2024년 8월 22일부터 RDS로의 통신이 끊긴다고 하니 해결을 해야한다. 한번 해결하면 40년간 교체할 필요 없다고하니 힘을 내서 교체해보도록 하자.
도대체 무슨 소리인가, 걱정이 많이 되지만 생각보다 해결책은 간단하다.
새로운 인증서를 다운로드 받고, 기존 인증서가 있던 위치의 인증서를 새 인증서로 교체한 뒤, 데이터페이스의 인증서 설정을 변경해주는 3단계만 거치면 된다.
1. 인증서 다운로드
https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html
SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화 - Amazon Relational Database Service
SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화 애플리케이션에서 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS)을 사용하여 MariaDB, Microsoft SQL Server, MySQL, Oracle 또는 PostgreSQL을 실행하는 DB 인스
docs.aws.amazon.com
위 문서에서 인증서를 다운로드 받을 수 있다. 특정 AWS 리전용 인증서 번들 섹터에서 Asia Pacific (Seoul)의 인증서 번들을 다운로드 받자. (ap-northeast-2-bundle.pem)
2. 인증서 업로드
EC2 instance와 RDS 간의 연결이 있는 경우, EC2 instance의 working directory에 기존 인증서를 업로드해두고 사용하고 있었을 것이다. 혹시 모르니 기존 인증서는 backup 해두고 새 인증서를 옮기자. 프로그램이 돌아가고 있다면 혹시나 모를 이상 반응을 방지 하기 위해 잠시 프로그램을 중단하고 인증서를 업데이트하는 것도 좋은 방법일 것 같다.
3. DB 인스턴스 수정
마지막으로 DB 인스턴스를 수정하여 CA를 rds-ca-2019에서 ca-rsa2048-g1로 변경하는 과정이 필요하다
AWS Management Console > RDS > 데이터베이스에서 설정하려는 데이터베이스를 클릭한 뒤
우측에서 수정 버튼을 누른다.
이후 연결 섹션에서 rds-ca-rsa-2048-g1을 선택하면 된다.
그러면 나중에 인증 기관이 저렇게 rds-ca-rsa2048-1로 변경되는 것을 알 수 있다.