翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DocumentDB TLS 証明書の更新 - GovCloud
**Topics**
+ [アプリケーションと Amazon DocumentDB クラスターの更新](#ca_cert_rotation-updating_application)
+ [トラブルシューティング](#ca_cert_rotation-troubleshooting)
+ [よくある質問](#ca_cert_rotation-faq)
**注記**
この情報は、GovCloud (米国西部) と GovCloud (米国東部) リージョンのユーザーのみに適用されます。
Amazon DocumentDB (MongoDB 互換) クラスターの証明機関 (CA) 証明書は、**2022 年 5 月 18 日**に更新されました。TLS (Transport Layer Security) が有効 (デフォルト設定) になっている クラスターを使用しており、クライアントアプリケーション証明書とサーバー証明書を更新していない場合は、アプリケーションと Amazon DocumentDB クラスターとの接続問題を軽減するために次の手順を実行する必要があります。
+ [ステップ 1: 新しい CA 証明書をダウンロードしてアプリケーションを更新する](#ca_cert_rotation-pdt-updating_application_step1)
+ [ステップ 2: サーバー証明書を更新する](#ca_cert_rotation-pdt-updating_application_step2)
CA とサーバーの証明書は、Amazon DocumentDB のための標準的なメンテナンスおよびセキュリティのベストプラクティスの一環として更新されています。以前の CA 証明書が 2022 年 5 月 18 日に失効します。クライアントアプリケーションは、新しい CA 証明書をトラストストアに追加する必要があり、この有効期限より前に新しい CA 証明書を使用するために既存の Amazon DocumentDB インスタンスを更新する必要があります。
## アプリケーションと Amazon DocumentDB クラスターの更新
このセクションの手順に従って、アプリケーションの CA 証明書バンドル ([ステップ 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1)) とクラスターのサーバー証明書 ([ステップ 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2)) を更新します。本番環境に変更を適用する前に、開発環境またはステージング環境でこれらの手順をテストすることを強くお勧めします。
**注記**
Amazon DocumentDB クラスターがある各 AWS リージョン でステップ 1 と 2 を完了する必要があります。
### ステップ 1: 新しい CA 証明書をダウンロードしてアプリケーションを更新する
新しい CA 証明書を使用して Amazon DocumentDB への TLS 接続を作成できるように、新しい CA 証明書をダウンロードしてアプリケーションを更新します。
+ GovCloud (米国西部) の場合は、[https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem) から新しい CA 証明書バンドルをダウンロードします。このオペレーションにより、`us-gov-west-1-bundle.pem` という名前のファイルがダウンロードされます。
+ GovCloud (米国東部) の場合は、[https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem](https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem) から新しい CA 証明書バンドルをダウンロードします。このオペレーションにより、`us-gov-east-1-bundle.pem` という名前のファイルがダウンロードされます。
**注記**
古い CA 証明書 (`rds-ca-2017-root.pem`) と新しい CA 証明書 (`rds-ca-rsa2048-g1.pem`、`rds-ca-rsa4096-g1.pem`、`rds-ca-ecc384-g1.pem` のいずれか) の両方を含むキーストアにアクセスしている場合は、そのキーストアで使用したい証明書が選択されるかを確認してください。各証明書の詳細については、以下のステップ 2 を参照してください。
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-west-1/us-gov-west-1-bundle.pem
```
```
wget https://truststore.pki.us-gov-west-1.rds.amazonaws.com/us-gov-east-1/us-gov-east-1-bundle.pem
```
次に、新しい証明書バンドルを使用するようにアプリケーションを更新します。新しい CA バンドルには、古い CA 証明書と新しい CA 証明書 (`rds-ca-rsa2048-g1.pem`、`rds-ca-rsa4096-g1.pem`、`rds-ca-ecc384-g1.pem` のいずれか) の両方が含まれます。新しい CA バンドルに両方の CA 証明書を使用すると、2 つの手順でアプリケーションとクラスターを更新できます。
2021 年 12 月 21 日以降に CA 証明書バンドルをダウンロードする場合は、新しい CA 証明書バンドルを使用する必要があります。アプリケーションで最新の CA 証明書バンドルを使用していることを確認するには、「[最新の CA バンドルを使用していることを確認するにはどうすればよいですか?](#ca_cert_rotation_pdt-faq_question13)」を参照してください。アプリケーションで最新の CA 証明書バンドルをすでに使用している場合は、ステップ 2 に進むことができます。
アプリケーションで CA バンドルを使用する例については、「[Encrypting data in transit](security.encryption.ssl.md)」および「[TLS が有効な場合の接続](connect_programmatically.md#connect_programmatically-tls_enabled)」を参照してください。
**注記**
現在、MongoDB Go ドライバー 1.2.1 は、`sslcertificateauthorityfile` で 1 つの CA サーバー証明書しか受け入れません。TLS が有効な場合は、Go を使用して Amazon DocumentDB に接続する方法について「[TLS が有効な場合の接続](connect_programmatically.md#connect_programmatically-tls_enabled)」を参照してください。
### ステップ 2: サーバー証明書を更新する
新しい CA バンドルを使用するようにアプリケーションを更新したら、次のステップとして Amazon DocumentDB クラスター内の各インスタンスを変更してサーバー証明書を更新します。新しいサーバー証明書を使用するようにインスタンスを変更するには、次の手順を参照してください。
Amazon DocumentDB には DB インスタンスの DB サーバー証明書に署名するために以下の CA が用意されています。
+ **rds-ca-ecc384-g1** — ECC 384 プライベートキーアルゴリズムと SHA384 署名アルゴリズムを備えた認証局を使用します。この CA はサーバー証明書の自動ローテーションをサポートします。これは現在、Amazon DocumentDB 4.0 および 5.0 でのみサポートされています。
+ **rds-ca-rsa2048-g1** — ほとんどの AWS リージョンで、RSA 2048 プライベートキーアルゴリズムと SHA256 署名アルゴリズムで認証機関を使用します。この CA はサーバー証明書の自動ローテーションをサポートします。
+ **rds-ca-rsa2048-g1** — RSA 4096 プライベートキーアルゴリズムと SHA256 署名アルゴリズムを備えた認証局を使用します。この CA はサーバー証明書の自動ローテーションをサポートします。
**注記**
を使用している場合は AWS CLI、[describe-certificates](https://docs.aws.amazon.com/cli/latest/reference/docdb/describe-certificates.html) を使用して、上記の認証機関の有効性を確認できます。
**注記**
Amazon DocumentDB 4.0 および 5.0 インスタンスの場合、**再起動は必要ありません**。
Amazon DocumentDB 3.6 インスタンスを更新するには再起動が必要であり、そのためにサービスが中断される場合があります。サーバー証明書を更新する前に、[ステップ 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1) を完了しておく必要があります。
------
#### [ Using the AWS マネジメントコンソール ]
次の手順を実行し、 AWS マネジメントコンソールを使って既存の Amazon DocumentDB インスタンスのための古いサーバー証明書を特定するために、次のステップを完了します。
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) で Amazon DocumentDB コンソールを開きます。
1. 画面の右上隅にあるリージョンのリストで、クラスターが存在する AWS リージョン を選択します。
1. コンソールの左側のナビゲーションペインで、**Clusters** を選択します。
1. 古いサーバー証明書 (`rds-ca-2017`) に残っているインスタンスを特定する必要がある場合があります。デフォルトでは非表示になっている列 **Certificate authority** でこれを行えます。[**証明機関**] 列を表示するには、次の手順を実行します。
1. [**設定**] アイコンを選択します。
1. 表示されている列の一覧で、[**証明機関**] 列を選択します。
1. [**確定**] を選択し、変更を保存します。
1. Clusters ナビゲーションボックスに戻り、**Cluster Identifier** 列が表示されます。インスタンスは、以下のスクリーンショットのように、クラスターの下に表示されます。
1. 興味がある対象のインスタンスの左側にあるチェックボックスをチェックします。
1. **アクション** を選択してから、**変更** を選択します。
1. **[証明機関]** で、このインスタンス向けの新しいサーバー証明書 (`rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1` のいずれか) を選択します。
1. 次のページで変更の概要を確認できます。接続の中断を避けるためにインスタンスを変更する前に、アプリケーションが最新の証明書 CA バンドルを使用していることを確認するよう通知する、追加のアラートがあることに注意してください。
1. 次のメンテナンス期間中に変更を適用するか、すぐに適用するかを選択できます。サーバー証明書をすぐに変更する場合は、[**すぐに適用**] オプションを使用します。
1. [**インスタンスの変更**] を選択して、更新を完了します。
------
#### [ Using the AWS CLI ]
次の手順を実行し、 AWS CLIを使って既存の Amazon DocumentDB インスタンスのための古いサーバー証明書を特定して更新します。
1. インスタンスをすぐに変更するには、クラスターの各インスタンスに対して次のコマンドを実行します。次のいずれかの証明書を使用します: `rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1`。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. クラスターの次回のメンテナンスウィンドウで新しい CA 証明書を使用するようにクラスター内のインスタンスを変更するには、クラスター内のインスタンスごとに次のコマンドを実行します。次のいずれかの証明書を使用します: `rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1`。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
------
## トラブルシューティング
証明書の更新の一環としてクラスターへの接続に問題がある場合は、次の操作をお勧めします。
+ **インスタンスを再起動します。**新しい証明書に更新するには、各インスタンスを再起動する必要があります。新しい証明書を 1 つ以上のインスタンスに適用しても再起動していない場合は、インスタンスを再起動して新しい証明書を適用します。詳細については、「[Amazon DocumentDB インスタンスの再起動](db-instance-reboot.md)」を参照してください。
+ **クライアントが最新の証明書バンドルを使用していることを確認します。**「[最新の CA バンドルを使用していることを確認するにはどうすればよいですか?](#ca_cert_rotation_pdt-faq_question13)」を参照してください。
+ **インスタンスが最新の証明書を使用していることを確認します。**「[古い/新しいサーバー証明書を使用している Amazon DocumentDB インスタンスを確認するにはどうすればいいですか。](#ca_cert_rotation_pdt-faq_question5)」を参照してください。
+ **最新の証明書 CA がアプリケーションで使用されていることを確認します。**Java や Go などの一部のドライバーは、複数の証明書を証明書バンドルから信頼ストアにインポートするために、追加のコードを必要とします。TLS を使用した Amazon DocumentDB への接続のさらなる詳細については、[プログラムによる Amazon DocumentDB への接続](connect_programmatically.md) を参照してください。
+ サポートへのお問い合わせ。ご質問や問題がある場合は、[サポート](https://aws.amazon.com/premiumsupport) にお問い合わせください。
## よくある質問
次に、TLS 証明書に関していくつかのよくある質問に対する回答を示します。
### 質問や問題がある場合はどうしたらいいですか?
ご質問や問題がある場合は、[サポート](https://aws.amazon.com/premiumsupport) にお問い合わせください。
### TLS を使用して Amazon DocumentDB クラスターに接続しているかどうかを知るにはどうすればよいですか。
クラスターが TLS を使用しているかどうかを判断するには、クラスターのクラスターパラメータグループの `tls` パラメータを調べます。`tls` パラメータが `enabled` に設定されている場合は、TLS 証明書を使用してクラスターに接続しています。詳細については、「[Amazon DocumentDB クラスターパラメータグループの管理](cluster_parameter_groups.md)」を参照してください。
### CA 証明書とサーバー証明書を更新する理由
Amazon DocumentDB の CA 証明書とサーバー証明書は、Amazon DocumentDB の標準的なメンテナンスおよびセキュリティのベストプラクティスの一環として更新されました。現在の CA 証明書とサーバー証明書は 2022 年 5 月 18 日 (水) に有効期限が切れます。
### 有効期限までにアクションしないと、どうなりますか?
Amazon DocumentDB クラスターへの接続に TLS を使用しており、2022 年 5 月 18 日までに変更を行わなかった場合、TLS 経由で接続するアプリケーションは Amazon DocumentDB クラスターと通信できなくなります。
Amazon DocumentDB は、有効期限が切れる前にデータベース証明書を自動的にローテーションしません。有効期限の前後を問わず、新しい CA 証明書を使用するようにアプリケーションとクラスターを更新する必要がある。
### 古い/新しいサーバー証明書を使用している Amazon DocumentDB インスタンスを確認するにはどうすればいいですか。
古いサーバー証明書をまだ使用している Amazon DocumentDB インスタンスを特定するには、Amazon DocumentDB AWS マネジメントコンソール または のいずれかを使用できます AWS CLI。
#### の使用 AWS マネジメントコンソール
**古い証明書を使用しているクラスター内のインスタンスを特定するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) で Amazon DocumentDB コンソールを開きます。
1. 画面の右上隅にあるリージョンのリストで、インスタンスが存在する AWS リージョン を選択します。
1. コンソールの左側のナビゲーションペインで、[**インスタンス**] を選択します。
1. **[証明機関]** 列 (デフォルトでは非表示) で、どのインスタンスがまだ古いサーバー証明書 (`rds-ca-2017`) を使用しており、どのインスタンスに新しいサーバー証明書 (`rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1` のいずれか) が適用されているかを確認できます。[**証明機関**] 列を表示するには、次の手順を実行します。
1. [**設定**] アイコンを選択します。
1. 表示されている列の一覧で、[**証明機関**] 列を選択します。
1. [**確定**] を選択し、変更を保存します。
#### の使用 AWS CLI
古いサーバー証明書を使用しているクラスター内のインスタンスを特定するには、以下を指定して `describe-db-clusters` コマンドを使用します。
```
aws docdb describe-db-instances \
--filters Name=engine,Values=docdb \
--query 'DBInstances[*].{CertificateVersion:CACertificateIdentifier,InstanceID:DBInstanceIdentifier}'
```
### Amazon DocumentDB クラスター内の個々のインスタンスを変更してサーバー証明書を更新するにはどうすればよいですか。
特定のクラスター内のすべてのインスタンスのサーバー証明書を同時に更新することをお勧めします。クラスター内のインスタンスを変更するには、コンソールまたは AWS CLIを使用できます。
**注記**
インスタンスを更新するには再起動が必要であり、そのためにサービスが中断される場合があります。サーバー証明書を更新する前に、[ステップ 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1) を完了しておく必要があります。
#### の使用 AWS マネジメントコンソール
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) で Amazon DocumentDB コンソールを開きます。
1. 画面の右上隅にあるリージョンのリストで、クラスターが存在する AWS リージョン を選択します。
1. コンソールの左側のナビゲーションペインで、[**インスタンス**] を選択します。
1. [**証明機関**] 列 (デフォルトでは非表示) に、古いサーバー証明書に残っているインスタンスが表示されます (`rds-ca-2017`)。[**証明機関**] 列を表示するには、次の手順を実行します。
1. [**設定**] アイコンを選択します。
1. 表示されている列の一覧で、[**証明機関**] 列を選択します。
1. [**確定**] を選択し、変更を保存します。
1. 変更するインスタンスを選択します。
1. **アクション** を選択してから、**変更** を選択します。
1. **[証明機関]** で、このインスタンス向けの新しいサーバー証明書を一つ (`rds-ca-rsa2048-g1`、`rds-ca-rsa4096-g1`、`rds-ca-ecc384-g1` のいずれか) 選択します。
1. 次のページで変更の概要を確認できます。接続の中断を避けるためにインスタンスを変更する前に、アプリケーションが最新の証明書 CA バンドルを使用していることを確認するよう通知する、追加のアラートがあることに注意してください。
1. 次のメンテナンス期間中に変更を適用するか、すぐに適用するかを選択できます。
1. [**インスタンスの変更**] を選択して、更新を完了します。
#### の使用 AWS CLI
次の手順を実行し、 AWS CLIを使って既存の Amazon DocumentDB インスタンスのための古いサーバー証明書を特定して更新します。
1. インスタンスをすぐに変更するには、クラスターの各インスタンスに対して次のコマンドを実行します。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --apply-immediately
```
1. クラスターの次回のメンテナンスウィンドウで新しい CA 証明書を使用するようにクラスター内のインスタンスを変更するには、クラスター内のインスタンスごとに次のコマンドを実行します。
```
aws docdb modify-db-instance --db-instance-identifier {{}} --ca-certificate-identifier rds-ca-rsa4096-g1 --no-apply-immediately
```
### 既存のクラスターに新しいインスタンスを追加するとどうなりますか?
作成される新しいインスタンスはすべて古いサーバー証明書を使用し、古い CA 証明書を使用する TLS 接続が必要です。2022 年 3 月 21 日以降に新規作成される Amazon DocumentDB インスタンスは、デフォルトで新しい証明書を使用します。
### クラスターにインスタンスの置き換えまたはフェイルオーバーがある場合はどうなりますか?
クラスターにインスタンスの置き換えがある場合、作成される新しいインスタンスは、そのインスタンスが以前使用していたものと同じサーバー証明書を引き続き使用します。すべてのインスタンスのサーバー証明書を同時に更新することをお勧めします。クラスターでフェイルオーバーが発生した場合、新しいプライマリのサーバー証明書が使用されます。
### クラスターへの接続に TLS を使用していない場合でも、各インスタンスを更新する必要がありますか?
Amazon DocumentDB クラスターへの接続に TLS を使用していない場合、操作は必要ありません。
### 現在、クラスターへの接続に TLS を使用していませんが、将来的に計画している場合、どうすればよいですか。
2022 年 3 月 21 日より前にクラスターを作成した場合は、前のセクションの [ステップ 1](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step1) と [ステップ 2](https://docs.aws.amazon.com/documentdb/latest/developerguide/ca_cert_rotation.html#ca_cert_rotation-pdt-updating_application_step2) に従って、アプリケーションで更新済みの CA バンドルを使用していること、および各 Amazon DocumentDB インスタンスで最新のサーバー証明書を使用していることを確認します。2022 年 3 月 21 日以降にクラスターを作成した場合、クラスターにはすでに最新のサーバー証明書があります。アプリケーションで最新の CA バンドルを使用していることを確認するには、「[クラスターへの接続に TLS を使用していない場合でも、各インスタンスを更新する必要がありますか?](#ca_cert_rotation_pdt-faq_question10)」を参照してください。
### 2022 年 5 月 18 日以降に締め切りを延長することはできますか?
アプリケーションが TLS 経由で接続している場合、2022 年 3 月 18 日以降に締め切りを延長することはできません。
### 最新の CA バンドルを使用していることを確認するにはどうすればよいですか?
互換性の理由から、古い CA バンドルファイルと新しい CA バンドルファイルの両方に `us-gov-west-1-bundle.pem` という名前が付けられます。また、`openssl` や `keytool` などのツールを使用して CA バンドルを検査することもできます。
### CA バンドルの名前に「RDS」が表示されるのはなぜですか?
証明書マネージメントのような特定の管理機能では、Amazon DocumentDB は Amazon RDS (Amazon Relational Database Service) と共有の運用テクノロジーを使用します。
### 新しい証明書の有効期限はいつですか?
新しいサーバー証明書は (一般的に) 以下のように期限切れになります。
+ **rds-ca-rsa2048-g1**: 2061 年
+ **rds-ca-rsa4096-g1**: 2121 年
+ **rds-ca-ecc384-g1**: 2121 年 に有効期限 となります
### 証明書の有効期限が切れる前にアクションを実行しないと、どのようなエラーが表示されますか?
エラーメッセージはお使いのドライバーによって異なります。一般に、「証明書の有効期限切れです」の文字列を含む証明書検証エラーが表示されます。
### 新しいサーバー証明書を適用した場合、古いサーバー証明書に戻すことはできますか。
インスタンスを古いサーバー証明書に戻す必要がある場合は、クラスターのすべてのインスタンスに対してこの操作を実行することをお勧めします。 AWS マネジメントコンソール または を使用して、クラスター内の各インスタンスのサーバー証明書を元に戻すことができます AWS CLI。
#### の使用 AWS マネジメントコンソール
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb) で Amazon DocumentDB コンソールを開きます。
1. 画面の右上隅にあるリージョンのリストで、クラスターが存在する AWS リージョン を選択します。
1. コンソールの左側のナビゲーションペインで、[**インスタンス**] を選択します。
1. 変更するインスタンスを選択します。[**アクション**] を選択してから、[**変更**] を選択します。
1. [**証明機関**] で、古いサーバー証明書(`rds-ca-2017`)を選択することができます。
1. [**続行**] を選択して、変更の概要を表示します。
1. この結果ページでは、変更を次のメンテナンスウィンドウで適用するようにスケジュールするか、変更をすぐに適用するかを選択できます。選択を行い、[**Modify instance (インスタンスの変更)**] を選択します。
**注記**
変更の即時適用を選択した場合、保留中の変更キューにあるすべての変更も同様に適用されます。ダウンタイムを必要とする保留中の変更がある場合、このオプションを選択すると予想外のダウンタイムが発生することがあります。
#### の使用 AWS CLI
```
aws docdb modify-db-instance --db-instance-identifier {{}} ca-certificate-identifier rds-ca-2017 {{<--apply-immediately | --no-apply-immediately>}}
```
`--no-apply-immediately` を選択した場合、変更はクラスターの次のメンテナンス期間中に適用されます。
### スナップショットまたはポイントインタイム復元から復元した場合、新しいサーバー証明書が含まれていますか?
2022 年 3 月 21 日以降にスナップショットを復元するか、ポイントインタイム復元を実行すると、作成される新しいクラスターでは新しい CA 証明書が使用されます。
### Mac OS X Catalina から Amazon DocumentDB クラスターに直接接続する際に問題が発生した場合はどうすればいいですか。
Mac OS X Catalina は、信頼できる証明書の要件を更新しています。信頼された証明書の有効期間は 825 日以下である必要があります ([https://support.apple.com/en-us/HT210176](https://support.apple.com/en-us/HT210176) を参照)。Amazon DocumentDB インスタンス証明書の有効期間は 4 年以上であり、Mac OS X の上限を超えています。Mac OS X Catalina を実行しているコンピュータから Amazon DocumentDB クラスターに直接接続するには、TLS 接続の作成時に無効な証明書を許可する必要があります。この場合、無効な証明書とは、有効期間が 825 日より長いものを意味します。Amazon DocumentDB クラスターに接続する場合、無効な証明書を許可する前に、そのリスクを理解する必要があります。
を使用して OS X Catalina から Amazon DocumentDB クラスターに接続するには AWS CLI、 `tlsAllowInvalidCertificates`パラメータを使用します。
```
mongo --tls --host --username --password --port 27017 --tlsAllowInvalidCertificates
```