Verschlüsselung während der Übertragung verwalten

Auf dieser Seite wird erklärt, wie Sie die Verschlüsselung während der Übertragung bei der Erstellung der Redis-Instanz aktivieren und wie Sie die Verschlüsselung während der Übertragung für die Instanz verwalten. Die Verschlüsselung während der Übertragung verwendet das Transport Layer Security-Protokoll (TLS).

Informationen zum allgemeinen Verhalten und zu den Vorteilen von Verschlüsselung während der Übertragung finden Sie unter Verschlüsselung während der Übertragung.

Eine Liste der Berechtigungen, die ein Nutzer zum Ausführen der Verwaltungsaufgaben auf dieser Seite benötigt, finden Sie unter Berechtigungen zur Verschlüsselung während der Übertragung.

Sie können die Verschlüsselung während der Übertragung nur aktivieren, wenn Sie Ihre Redis-Instanz zum ersten Mal erstellen. Die Verschlüsselung während der Übertragung kann für auf diese Weise erstellte Instanzen nicht deaktiviert werden.

Redis-Instanz mit Verschlüsselung während der Übertragung erstellen

Console

Wählen Sie Verschlüsselung während der Übertragung aktivieren aus, wenn Sie eine Redis-Instanz erstellen.

gcloud

Geben Sie zum Erstellen einer Redis-Instanz mit Verschlüsselung während der Übertragung den folgenden Befehl ein. Ersetzen Sie dabei variables durch die entsprechenden Werte:

gcloud redis instances create instance-id --transit-encryption-mode=SERVER_AUTHENTICATION --size=size --region=region-id

Wobei:

  • --transit-encryption-mode=SERVER_AUTHENTICATION die Verschlüsselung während der Übertragung für Ihre Instanz aktiviert.

Zertifizierungsstelle herunterladen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Memorystore for Redis auf.

    Memorystore for Redis

  2. Rufen Sie die Seite Instanzdetails Ihrer Instanz auf, indem Sie auf Ihre Instanz-ID klicken.

  3. Klicken Sie unter TLS-Serverzertifikat auf eine der Schaltflächen Herunterladen oder Alle herunterladen.

gcloud

Wenn die Verschlüsselung während der Übertragung auf Ihrer Instanz aktiviert ist, sehen Sie bei Ausführung des folgenden Befehls den Inhalt der Zertifizierungsstelle(n):

gcloud redis instances describe instance-id --region=region

Der Antworttext enthält alle anwendbaren Zertifizierungsstellen. Im Folgenden finden Sie eine Beispielzertifizierungsstelle für Memorystore for Redis:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Kopieren und speichern Sie alle Zertifizierungsstellen vorübergehend, damit Sie sie auf Clients installieren können, die auf die Redis-Instanz zugreifen.

Zertifizierungsstellen auf Ihrem Client installieren

Sie müssen die Zertifizierungsstelle(n) Ihrer Redis-Instanz auf dem verbindenden Client installieren. Die Installation der Zertifizierungsstelle kann je nach Clienttyp variieren. In folgenden Schritten wird erläutert, wie Sie eine Zertifizierungsstelle auf einer Compute Engine-Linux-VM installieren.

  1. Stellen Sie eine SSH-Verbindung zu Ihrem Compute Engine-Linux-Client her.

  2. Erstellen Sie mit folgendem Befehl eine Datei mit dem Namen server_ca.pem in Ihrem Client:

    sudo vim /tmp/server_ca.pem
    
  3. Laden Sie die Zertifizierungsstelle herunter und fügen Sie sie in die zuvor erstellte server_ca.pem-Datei ein.

    Der Text der Zertifizierungsstelle muss korrekt formatiert sein:

    • Kopieren Sie die gesamte Zertifizierungsstelle, einschließlich der Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.
    • Der Text der Zertifizierungsstelle muss vollständig linksbündig sein. Vor Zertifizierungsstellenzeilen dürfen keine Leerzeichen stehen.

Client für die Verschlüsselung während der Übertragung konfigurieren

Der Client, mit dem Sie eine Verbindung zur Redis-Instanz herstellen, muss TLS unterstützen oder eine Sidecar-Datei von einem Drittanbieter verwenden, um TLS zu aktivieren.

Wenn Ihr Client TLS unterstützt, konfigurieren Sie ihn so, dass er auf die IP-Adresse Ihrer Redis-Instanz, Port 6378 und die Datei mit der Zertifizierungsstelle verweist. Wenn Sie sich für eine Sidecar-Datei entscheiden, empfehlen wir die Verwendung von Stunnel.

Zusätzliche Clientkonfiguration

Einige Clients akzeptieren selbstsignierte Zertifikate nicht und erfordern entsprechend eine zusätzliche Konfiguration.

Zum Beispiel ist Lettuce ein beliebter Java-Client für Redis. Die Dokumentation enthält ein Beispiel für eine native Verbindung mit TLS (siehe Beispiel 47). Da Java Security Manager standardmäßig keine selbst signierten Zertifikate zulässt, muss in der Redis-URI-Konstruktion .withVerifyPeer(false) eine zusätzliche Option angegeben werden.

Sichere Verbindung zu einer Redis-Instanz über Stunnel und Telnet herstellen

Eine Anleitung für die Verwendung von Stunnel zur Aktivierung der Verschlüsselung während der Übertragung auf einem Compute Engine-Client finden Sie unter Sichere Verbindung zu einer Redis-Instanz mit Stunnel und Telnet.

Rotation der Zertifizierungsstelle verwalten

Sie sollten alle herunterladbaren Zertifizierungsstellen auf Clients, die auf die Redis-Instanz zugreifen, installieren.

Die Installation einer neuen Zertifizierungsstelle, sobald verfügbar, zusätzlich zur vorherigen Zertifizierungsstelle ist die einfachste Möglichkeit, sicherzustellen, dass die erforderliche Zertifizierungsstelle bei einer Zertifizierungsstellen-Rotation vorhanden ist.

Führen Sie folgenden Befehl aus nachdem eine neue Zertifizierungsstelle eingeführt wurde, um den Inhalt der neuen Zertifizierungsstelle aufzurufen:

gcloud redis instances describe instance-id --region=region

Kopieren Sie anschließend die neueste Zertifizierungsstelle und fügen Sie sie in die Datei auf Ihrem Client ein, in der die vorherige Zertifizierungsstelle gespeichert ist.

Die Datei sollte das folgende Format haben. Die Reihenfolge der Zertifizierungsstellen spielt keine Rolle:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Um sicher zu stellen, dass Sie über die erforderliche Zertifizierungsstelle verfügen, müssen Sie nur prüfen, ob die in Ihrer Clientdatei gespeicherten Zertifizierungsstellen mit den von gcloud redis instances describe angezeigten übereinstimmen. Wenn eine Rotation beginnt sind mehrere Zertifizierungsstellen vorhanden, was genügend Zeit für Rotationen mit minimalen Ausfallzeiten bedingt.

Nächste Schritte