翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Lightsail データベースの CA 証明書バージョンを更新する
Amazon Lightsail は、SSL/TLS を使用してマネージドデータベースに接続するための新しい認証局 (CA) 証明書を公開しました。このガイドでは、新しい CA 証明書にアップグレードする方法について説明します。証明書は、 update-relational-database API アクションを使用してのみアップグレードできます。新しい証明書は、rds-ca-rsa2048-g1
、、rds-ca-rsa4096-g1
および と呼ばれますrds-ca-ecc384-g1
。古い証明書は と呼ばれますrds-ca-2019
。 AWS セキュリティのベストプラクティスとして CA 証明書を提供しています。マネージドデータベースの CA 証明書とサポートされている の詳細については、「マネージドデータベースの SSL 証明書のダウンロード AWS リージョン」を参照してください。
古い CA 証明書 (rds-ca-2019
) は 2024 年 8 月 22 日に有効期限が切れます。したがって、このガイドの手順をできる限り早く完了して、新しい証明書を使用するようにマネージド型データベースを変更することを強くお勧めします。アプリケーションが SSL/TLS を使用して Lightsail マネージドデータベースに接続しない場合、アクションは必要ありません。これらのステップが完了しない場合、アプリケーションは 2024 年 8 月 22 日以降、SSL/TLS を使用してマネージドデータベースに接続できません。
2024 年 1 月 26 日以降に作成された新しいマネージドデータベースは、デフォルトでrds-ca-rsa2048-g1
証明書を使用します。古い証明書 (rds-ca-2019
) を使用するように新しいマネージドデータベースを一時的に変更する場合は、 AWS Command Line Interface () を使用できますAWS CLI。2024 年 1 月 26 日より前に作成されたマネージドデータベースは、、rds-ca-rsa2048-g1
、rds-ca-rsa4096-g1
および rds-ca-2019
証明書に更新されるまでrds-ca-ecc384-g1
証明書を使用します。
注記
このガイドの手順は、本番稼働用環境で使用する前に、開発環境またはステージング環境でテストしてください。
前提条件
-
このガイドでは、 AWS CloudShell を使用してアップグレードを実行します。 CloudShell は、Lightsail コンソールから直接起動できるブラウザベースの事前認証済みシェルです。では CloudShell、Bash、 PowerShellZ シェルなどの任意のシェルを使用して AWS Command Line Interface (AWS CLI) コマンドを実行できます。この手順は、コマンドラインツールのダウンロードもインストールも不要です。のセットアップと使用方法の詳細については CloudShell、AWS CloudShell Lightsail の「」を参照してください。
-
以下の手順を実行する前に、新しい SSL/TLS 証明書を使用するようにデータベースアプリケーションを更新してください。新しい SSL/TLS 証明書のアプリケーションを更新する方法は、特定のアプリケーションにより異なります。アプリケーション開発者と協力して、アプリケーションの SSL/TLS 証明書を更新します。新しい SSL/TLS 証明書のためのアプリケーションの更新について詳しくは、「Amazon Relational Database Service ユーザーガイド」の「新しい SSL/TLS 証明書を使用して MySQL DB インスタンスに接続するためのアプリケーションの更新」または「新しい SSL/TLS 証明書を使用して PostgreSQL DB インスタンスに接続するためのアプリケーションの更新」を参照してください。
マネージドデータベースのアクティブな CA 証明書を特定する
Lightsail データベースインスタンスのアクティブな CA 証明書を特定するには、次のステップを実行します。
-
ターミナル、AWS CloudShell、またはコマンドプロンプトウィンドウを開きます。
-
次のコマンドを入力して、マネージドデータベースのアクティブな CA 証明書を特定します。
aws lightsail get-relational-database --relational-database-name
DatabaseName
--regionDatabaseRegion
| grep "caCertificateIdentifier"コマンドで、 を、変更するデータベースの名前
DatabaseName
に置き換え、 を、データベースインスタンスが存在する に置き換えDatabaseRegion
AWS リージョン ます。例
aws lightsail get-relational-database --relational-database-name
Database-1
--regionus-east-1
| grep "caCertificateIdentifier"コマンドは、データベースのアクティブな CA 証明書の ID を返します。
例
"caCertificateIdentifier": "rds-ca-rsa2048-g1"
新しい CA 証明書を使用するためにマネージド型データベースを変更する
Lightsail でマネージドデータベースを変更して新しい CA 証明書 (rds-ca-rsa2048-g1
、、) のいずれかを使用するにはrds-ca-rsa4096-g1
、次のステップを実行しますrds-ca-ecc384-g1
。
-
ターミナル、AWS CloudShell、またはコマンドプロンプトウィンドウを開きます。
-
次のコマンドを入力して、マネージドデータベースで新しい証明書を使用します。
aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-rsa2048-g1コマンドで、 を、変更するデータベースの名前
DatabaseName
に置き換えます。例
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-rsa2048-g1マネージドデータベースで使用される CA 証明書は、データベースの次のメンテナンスウィンドウ中に更新されます。または、 コマンドの最後に
--apply-immediately
パラメータを追加した場合はすぐに更新されます。
古い CA 証明書を使用するためにマネージド型データベースを変更する
Lightsail のマネージドデータベースを変更して古い CA 証明書 () を使用するには、以下の手順を実行しますrds-ca-2019
。これは、新しい証明書 (rds-ca-rsa2048-g1
、、および rds-ca-ecc384-g1
) のいずれかで重大な問題が発生しrds-ca-rsa4096-g1
、古い証明書を一時的に元に戻す必要がある場合にのみ実行してください。
-
ターミナル、AWS CloudShell、またはコマンドプロンプトウィンドウを開きます。
-
マネージド型データベースで
rds-ca-2019
を使用するには、以下のコマンドを入力します。aws lightsail update-relational-database --relational-database-name
DatabaseName
--ca-certificate-identifier rds-ca-2019コマンドで、 を、変更するデータベースの名前
DatabaseName
に置き換えます。例
aws lightsail update-relational-database --relational-database-name
Database-1
--ca-certificate-identifier rds-ca-2019マネージドデータベースで使用される CA 証明書は、データベースの次のメンテナンスウィンドウ中に更新されます。または、 コマンドの最後に
--apply-immediately
パラメータを追加した場合はすぐに更新されます。