핵심 요약
핀다가 AWS RDS의 CA 인증서 만료에 대비해 rds-ca-2019를 rds-ca-rsa2048-g1, rds-ca-rsa4096-g1, rds-ca-ecc384-g1 중 하나로 교체하는 인증서 업데이트를 수행하고, 재시작 여부와 적용 시나리오를 정리했습니다.
구현 방법
- DB 인스턴스 수정에서 새 CA 인증서를 선택하고 즉시 적용 여부를 결정
- aws rds describe-db-engine-versions로 재시작 필요 여부(SupportsCertificateRotationWithoutRestart=false) 확인
- 필요한 경우 AWS CLI를 최신 버전으로 업데이트
- 인증서별 만료일: rsa2048-g1 2061-05-21, rsa4096-g1 및 ecc384-g1 2121-05-21에 주의
주요 결과
- 새 CA 3종 모두 향후 자동 교체를 지원
- 재시작 여부는 엔진에 따라 다르며 대체로 820초 다운타임, 전체 작업은 23분 내외
- Aurora의 경우 Writer 재시작 시 Reader 재시작 가능성 등 엔진별 차이 확인 필요
