RDS DB インスタンスのサーバー証明書は手動更新が必要ですか?
困っていた内容
RDS インスタンス証明書の有効期限が残り 1 年を切っております。(下記画像の赤枠の部分)
こちらはいずれ「メンテナンスとバックアップ」タブの「保留中のメンテナンス」として表示され、手動適用が必要なのでしょうか?
それとも自動更新されるのでしょうか?自動更新される場合、時期はいつ頃でしょうか?
どう対応すればいいの
上記画像を確認すると、認証機関(CA)が rds-ca-rsa2048-g1 となっており、証明書の自動ローテーションがサポートされています。
CA が証明書の自動ローテーションをサポートしている場合、証明書の有効期限が切れる前に自動的にローテーションが行われます。お客様による手動適用は不要ですため、ご安心ください。
CA 毎の自動ローテーションの有無については下記ドキュメントの表をご参照ください。
認証局 (CA) 説明 rds-ca-2019 ... この CA は 2024 年に有効期限が切れ、サーバー証明書の自動ローテーションはサポートされていません。... rds-ca-rsa2048-g1 ... この CA はサーバー証明書の自動ローテーションをサポートします。 rds-ca-rsa4096-g1 ... この CA はサーバー証明書の自動ローテーションをサポートします。 rds-ca-ecc384-g1 ... この CA はサーバー証明書の自動ローテーションをサポートします。
なお、自動ローテーションが行われるタイミングについては、ご利用中の DB エンジンにより異なります。
ご利用されている DB エンジンおよびエンジンバージョンが「再起動なしのローテーション」をサポートしている場合、DB インスタンス証明書の有効期間の半減期(有効期間が 1 年の場合は 6 ヶ月経過後) になると、それ以降のいずれかのメンテナンスウィンドウにてサーバー証明書の自動ローテーションが実施されます。
「再起動なしのローテーション」をサポートしていない場合は、RDS から有効期限前にメンテナンスイベントが通知されますため、ご認識ください。
そのため、まずはお客様にて describe-db-engine-versions コマンドを用いて SupportsCertificateRotationWithoutRestart の値をご確認ください。
本値が true の場合は、「再起動なしのローテーション」がサポートされています。
自動ローテーションの詳細については、下記ドキュメントに記載がありますため、こちらも併せてご一読ください。
ルート CA がサーバー証明書の自動ローテーションをサポートしている場合、RDS は DB サーバー証明書のローテーションを自動的に処理します。
...
DB サーバー証明書のローテーションと有効期間は DB エンジンによって異なります。
- DB エンジンが再起動なしのローテーションをサポートしている場合、ユーザーによるアクションがなくても、RDS は DB サーバー証明書を自動的にローテーションします。RDS は、DB サーバー証明書の半減期になった時点で、希望するメンテナンス期間に DB サーバー証明書のローテーションを試みます。新しい DB サーバー証明書は、12 か月間有効です。
- DB エンジンが再起動なしのローテーションをサポートしていない場合、RDS は DB サーバー証明書の有効期限が切れる少なくとも 6 か月前にメンテナンスイベントについて通知します。新しい DB サーバー証明書は、36 か月間有効です。
describe-db-engine-versions コマンドを使用して、SupportsCertificateRotationWithoutRestart フラグを点検することで、再起動なしで DB エンジンバージョンが証明書のローテーションをサポートするかどうかを特定します。
参考情報
