近期登入 AWS RDS 平台介面,會發現有憑證更新的提示:
為何會收到更新憑證通知?
這是因為大部分的 SSL/TLS 憑證 (rds-ca-2019
) 將會在 2024 年到期,受影響的區域及到期日如下表:
如要更換憑證至(rds-ca-rsa2048-g1
) <此憑證有效期限為40年> 或是 (rds-ca-rsa4096-g1
and rds-ca-ecc384-g1
) <此二張憑證有效期限各為 100 年>
如何安排 RDS 憑證更新時程?
由於在更新憑證等待期間,會有幾分鐘資料庫連線中斷,故建議先從測試環境資料庫分批進行憑證更新,確認資料庫連線無異常後,再來進行正式環境資料庫的憑證更新。也由於會有連線中斷的原因,會建議在離峰時間進行憑證輪替。
更新憑證步驟
步驟一:確認受影響之 RDS 資源
點擊 RDS 頁面左下角【Certificate update】→將會在畫面列出須更新憑證的資料庫
步驟二:更新憑證
選取須更新憑證的資料庫實例→點擊右上角【Apply now】進行憑證更新
※ 也可點選【Schedule】在 RDS 下一個維護時段進行憑證更新
選擇 rds-ca-rsa2048-g1
(此憑證與原先的 rds-ca-2019 有相同加密標準,可參考 AWS 官方文件。
等待憑證更新
步驟三:確認憑證是否有更新至最新版本
更新完畢後,可至 console 介面中的 Connectivity & security 標籤,檢查是否有更新至最新版本
以上步驟即可完成 RDS 憑證更新,如需詳細資訊,可參考 AWS 官方文章。