In questa pagina viene spiegato come abilitare la crittografia dei dati in transito durante la creazione delle istanze Redis e come gestire la crittografia dei dati in transito per l'istanza. La crittografia dei dati in transito utilizza il protocollo TLS (Transport Layer Security).
Per informazioni sul comportamento generale e sui vantaggi dell'utilizzo della crittografia dei dati in transito, consulta Crittografia dei dati in transito.
Per un elenco delle autorizzazioni necessarie a un utente per eseguire le attività di gestione in questa pagina, vedi Autorizzazioni di crittografia dei dati in transito.
Puoi abilitare le crittografia dei dati in transito solo quando crei inizialmente l'istanza Redis. La crittografia dei dati in transito non può essere disabilitata per le istanze create in questo modo.
Creazione di un'istanza Redis con crittografia dei dati in transito
Console
Seleziona Abilita la crittografia dei dati in transito durante la creazione di un'istanza Redis.
gcloud
Per creare un'istanza Redis con crittografia dei dati in transito, inserisci il comando seguente, sostituendo variables con i valori appropriati:
gcloud redis instances create instance-id --transit-encryption-mode=SERVER_AUTHENTICATION --size=size --region=region-id
Dove:
--transit-encryption-mode=SERVER_AUTHENTICATIONconsente la crittografia dei dati in transito per la tua istanza.
Download dell'autorità di certificazione
Console
Vai alla pagina Memorystore per Redis nella console Google Cloud.
Visualizza la pagina Dettagli istanza della tua istanza facendo clic sul tuo ID istanza.
Fai clic sul pulsante Scarica o Scarica tutto in Certificato del server TLS.
gcloud
Se la crittografia dei dati in transito è abilitata nella tua istanza, vedrai i contenuti delle autorità di certificazione quando esegui il comando seguente:
gcloud redis instances describe instance-id --region=region
Il corpo della risposta includerà tutte le autorità di certificazione applicabili. Di seguito è riportata un'autorità di certificazione (CA) di esempio per Memorystore for Redis:
-----BEGIN CERTIFICATE----- MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1 MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H 8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0 3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh 1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3 84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7 xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn 662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g lEtWs4V/YBhKA56CW6ASZS8= -----END CERTIFICATE-----
Copia e salva temporaneamente tutte le CA per poterle installare sui client che accedono all'istanza Redis.
Installazione di un'autorità di certificazione sul client
Devi installare l'autorità di certificazione dell'istanza Redis sul client di connessione. L'installazione della CA può variare in base al tipo di client. I passaggi riportati di seguito spiegano come installare una CA su una VM Linux di Compute Engine.
Connettiti tramite SSH al client Linux di Compute Engine.
Crea un file denominato
server_ca.pemnel client eseguendo questo comando:sudo vim /tmp/server_ca.pem
Scarica l'autorità di certificazione e incollala nel file
server_ca.pemcreato in precedenza.Il testo della CA deve essere formattato correttamente:
- Copia
l'intera autorità di certificazione, incluse le righe
-----BEGIN CERTIFICATE-----e-----END CERTIFICATE-----. - Assicuratevi che il testo della CA sia completamente giustificato a sinistra. Non devono esserci spazi prima di qualsiasi riga della CA.
- Copia
l'intera autorità di certificazione, incluse le righe
Configurazione del client per la crittografia dei dati in transito
Il client che utilizzi per la connessione all'istanza Redis deve supportare TLS o utilizzare un file collaterale di terze parti per abilitare TLS.
Se il client supporta TLS, configuralo in modo che rimandi all'IP, alla porta 6378 e al file contenente l'autorità di certificazione dell'istanza Redis. Se scegli di utilizzare un file collaterale, ti consigliamo di utilizzare Stunnel.
Configurazione client aggiuntiva
Alcuni client non accettano i certificati autofirmati per impostazione predefinita e richiedono una configurazione aggiuntiva.
Ad esempio, Lettuce è un client Java popolare per Redis. La relativa documentazione fornisce un esempio per la connessione nativa con TLS (vedi Esempio 47).
Dato che Java Security Manager non consente i certificati autofirmati per impostazione predefinita, è necessario specificare un'opzione aggiuntiva nella creazione dell'URI Redis .withVerifyPeer(false).
Connessione sicura a un'istanza Redis tramite Stunnel e Telnet
Per istruzioni sull'utilizzo di Stunnel per abilitare la crittografia dei dati in transito su un client Compute Engine, vedi Connessione in modo sicuro a un'istanza Redis utilizzando Stunnel e telnet.
Gestione della rotazione dell'autorità di certificazione
Devi installare tutte le autorità di certificazione scaricabili sui client che accedono all'istanza Redis.
Installare la nuova CA, in aggiunta alla CA precedente, una volta che diventa disponibile è il modo più semplice per assicurarsi di disporre della CA necessaria quando si verifica l'evento di rotazione dell'autorità di certificazione.
Esegui questo comando dopo aver introdotto una nuova autorità di certificazione per visualizzarne i contenuti:
gcloud redis instances describe instance-id --region=region
Successivamente, copia e incolla l'autorità di certificazione più recente nel file del tuo client in cui hai salvato la CA precedente.
Il file deve essere nel formato seguente. L'ordine delle CA non è importante:
-----BEGIN CERTIFICATE----- MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1 MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H 8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0 3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh 1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3 84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7 xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn 662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g lEtWs4V/YBhKA56CW6ASZS8= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkYjg4 ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdhMzM4NmIwZmU4MTEwLwYDVQQDEyhHb29n bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE4MjEzMTI3WhcNMzAwOTE2 MjEzMjI3WjCBhTEtMCsGA1UELhMkYjg4ZTUzYTMtODdmNC00N2VhLWJjN2MtYTdh MzM4NmIwZmU4MTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDEO4Zs/So5DA6wtftkAElD 8BVREob4gby2mGBYAtd3JJQKFC+zIqCf2DhrWihrCeXhsdsZqJUF16E3MsCCWS2T UWt6T37zObU2fzKmb7X+TSw1tunIUcIXwWzoMhqdGrIvfI9guMbF+KssQIjDMs9M G/hY6cY1NB5THOxXqcxzYrwSKB1EE160EDz4RgKAYQhw7AyVOBBAbWqA5pTEDuUy qpsz+NFpKYTwaeTpzil0xIl0JJS3DOd4G7ZnMG2wFT2j3wt+P0SkAPuOWgmX82iO gGmKoaCh3KcICie/rZRTfsRPjMm+yswRQRDeLB5eoMmH+gbUInVZU0qOJ/7gOYEb AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB AF4xlEbwLUK5VjoKlJBtKXLYrYcW+AbQLhZQFP8exE8bOW7p39h+5J0nl3ItPxu6 97BCt1P5TFisba8pBxaExiDsYmjKQrhtizMkzl5h9hGksOgoLlAqaaxfA97+Q9Tq 5gaYChESur/159Z3jiM47obKoZmHfgSgr//7tjII7yZxUGhOjIVffv/fEa4aixqM 0yH1V1s8hWHZeui2VFrHmTxY20IH9ktyedjSUgnFXzsEH6sbR18p0wBZqyrrtURs DaUIeoOHfHgEJM8k/wphSJI0V6pMC6nax2JhexLTRiUsiGTLRDe3VtsdWqS2DLa9 9DmrfdF0eFrfWw3VRNLwwXg= -----END CERTIFICATE-----
Tutto quello che devi fare per assicurarti di disporre della CA richiesta è assicurarti che le CA salvate nel file client corrispondano a quelle mostrate da gcloud redis
instances describe. Dopo l'inizio di un evento di rotazione, sono presenti più CA per garantire un ampio tempo per le rotazioni con tempi di inattività minimi.
Passaggi successivi
- Leggi la panoramica sulla crittografia dei dati in transito.
- Scopri di più sulla funzionalità di autenticazione Redis su Memorystore per Redis.