Abilitazione della crittografia in transito

In questa pagina viene spiegato come abilitare la crittografia dei dati in transito durante la creazione dell'istanza Redis e come gestire la crittografia in transito per l'istanza. La crittografia dei dati in transito utilizza il protocollo Transport Layer Security (TLS).

Per informazioni sul comportamento generale e sui vantaggi dell'utilizzo della crittografia dei dati in transito, vedi Crittografia dei dati in transito.

Per un elenco delle autorizzazioni necessarie a un utente per eseguire le attività di gestione in questa pagina, vedi Autorizzazioni di crittografia in transito.

Puoi abilitare le crittografie in transito solo quando crei inizialmente l'istanza Redis. La crittografia in transito non può essere disabilitata per le istanze create in questo modo.

Creazione di un'istanza Redis con crittografia in transito

console

Seleziona Abilita crittografia in transito quando crei un'istanza Redis.

gcloud

Per creare un'istanza Redis con crittografia in transito, inserisci il comando seguente, sostituendo variables con i valori appropriati:

gcloud redis instances create instance-id --transit-encryption-mode=SERVER_AUTHENTICATION --size=size --region=region-id

Dove:

  • --transit-encryption-mode=SERVER_AUTHENTICATION abilita la crittografia dei dati in transito per la tua istanza.

Download dell'autorità di certificazione

console

  1. Vai alla pagina Memorystore for Redis in Google Cloud Console.

    Memorystore per Redis

  2. Per visualizzare la pagina Dettagli istanza dell'istanza, fai clic sul tuo ID istanza.

  3. Fai clic sul pulsante Scarica o Scarica tutto in Certificato server TLS.

gcloud

Se nella tua istanza è abilitata la crittografia dei dati in transito, quando esegui il comando seguente vedrai il contenuto delle autorità di certificazione.

gcloud redis instances describe instance-id --region=region

Il corpo della risposta includerà tutte le autorità di certificazione applicabili. Di seguito è riportato un esempio di autorità di certificazione (CA) per Memorystore for Redis:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Copia e salva temporaneamente tutte le CA in modo da poter installarle sui client che accedono all'istanza Redis.

Installazione di un'autorità di certificazione sul tuo client

Devi installare le autorità di certificazione delle istanze Redis sul client di connessione. L'installazione di CA può variare a seconda del tipo di client. I seguenti passaggi spiegano come installare una CA su una VM Linux di Compute Engine.

  1. Connettiti a SSH con il client Linux di Compute Engine.

  2. Crea un file denominato server_ca.pem nel tuo client eseguendo il comando seguente:

    sudo vim /tmp/server_ca.pem
    
  3. Scarica l'autorità di certificazione e incollala nel file server_ca.pem creato in precedenza.

    Il testo dell'autorità di certificazione deve essere formattato correttamente:

    • Copia l'intera autorità di certificazione, comprese le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
    • Assicurati che il testo della CA sia completamente giustificato a sinistra. Non dovrebbero esserci spazi davanti a nessuna riga della CA.

Configurazione del client per la crittografia dei dati in transito

Il client che utilizzi per connetterti all'istanza Redis deve supportare TLS o utilizzare un sidecar di terze parti per abilitare TLS.

Se il tuo client supporta TLS, configuralo in modo che punti all'IP dell'istanza Redis, alla porta 6378 e al file contenente l'autorità di certificazione. Se scegli di utilizzare un sidecar, ti consigliamo di utilizzare Stunnel.

Configurazione client aggiuntiva

Alcuni client non accettano i certificati autofirmati per impostazione predefinita e richiedono una configurazione aggiuntiva.

Ad esempio, Lettuce è un client Java popolare per Redis. La loro documentazione fornisce un esempio per connettersi in modo nativo con TLS (vedi Esempio 47). Dato che Java Security Manager non consente i certificati autofirmati per impostazione predefinita, è necessario specificare un'opzione aggiuntiva nella struttura dell'URI Redis .withVerifyPeer(false).

Connessione sicura a un'istanza Redis tramite Stunnel e Telnet

Per istruzioni sull'utilizzo di Stunnel per abilitare la crittografia dei dati in transito su un client Compute Engine, consulta Connessione sicura a un'istanza Redis tramite Stunnel e Telnet.

Gestione della rotazione dell'autorità di certificazione

Devi installare tutte le autorità di certificazione scaricabili sui client che accedono all'istanza Redis.

L'installazione della nuova CA, oltre alla CA precedente, una volta che diventa disponibile è la forma più semplice per assicurarti di avere la CA necessaria quando si verifica l'evento di rotazione dell'autorità di certificazione.

Esegui il comando seguente dopo aver introdotto una nuova autorità di certificazione per visualizzare i contenuti della nuova CA:

gcloud redis instances describe instance-id --region=region

Successivamente, copia e incolla la più recente autorità di certificazione nel file nel client in cui hai salvato la CA precedente.

Il file deve utilizzare il formato seguente. L'ordine delle autorità di certificazione non è rilevante:

-----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
lEtWs4V/YBhKA56CW6ASZS8=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkYjg4
ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdhMzM4NmIwZmU4MTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE4MjEzMTI3WhcNMzAwOTE2
MjEzMjI3WjCBhTEtMCsGA1UELhMkYjg4ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdh
MzM4NmIwZmU4MTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDEO4Zs/So5DA6wtftkAElD
8BVREob4gby2mGBYAtd3JJQKFC+zIqCf2DhrWihrCeXhsdsZqJUF16E3MsCCWS2T
UWt6T37zObU2fzKmb7X+TSw1tunIUcIXwWzoMhqdGrIvfI9guMbF+KssQIjDMs9M
G/hY6cY1NB5THOxXqcxzYrwSKB1EE160EDz4RgKAYQhw7AyVOBBAbWqA5pTEDuUy
qpsz+NFpKYTwaeTpzil0xIl0JJS3DOd4G7ZnMG2wFT2j3wt+P0SkAPuOWgmX82iO
gGmKoaCh3KcICie/rZRTfsRPjMm+yswRQRDeLB5eoMmH+gbUInVZU0qOJ/7gOYEb
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AF4xlEbwLUK5VjoKlJBtKXLYrYcW+AbQLhZQFP8exE8bOW7p39h+5J0nl3ItPxu6
97BCt1P5TFisba8pBxaExiDsYmjKQrhtizMkzl5h9hGksOgoLlAqaaxfA97+Q9Tq
5gaYChESur/159Z3jiM47obKoZmHfgSgr//7tjII7yZxUGhOjIVffv/fEa4aixqM
0yH1V1s8hWHZeui2VFrHmTxY20IH9ktyedjSUgnFXzsEH6sbR18p0wBZqyrrtURs
DaUIeoOHfHgEJM8k/wphSJI0V6pMC6nax2JhexLTRiUsiGTLRDe3VtsdWqS2DLa9
9DmrfdF0eFrfWw3VRNLwwXg=
-----END CERTIFICATE-----

Per assicurarti di disporre della CA richiesta, devi assicurarti che le CA salvate nel file client corrispondano a quelle mostrate da gcloud redis instances describe. Dopo l'inizio di un evento di rotazione, ci sono più autorità di certificazione per garantire un tempo sufficiente per le rotazioni con tempi di inattività minimi.

Passaggi successivi