Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Verbindungen mit TLS sichern

Auf dieser Seite wird die Erstellung einer Redis-Instanz erläutert, die das TLS-Protokoll verwendet und Anweisungen für zur Verwaltung einer Redis-Instanz mit aktiviertem TLS erforderlichen Aufgaben gibt.

Informationen zum allgemeinen Verhalten und den Vorteilen von TLS finden Sie unter TLS-Verschlüsselung.

Eine Liste der Berechtigungen, die ein Nutzer zum Ausführen der Verwaltungsaufgaben auf dieser Seite benötigt, finden Sie unter TLS-Berechtigungen.

Redis-Instanz mit TLS erstellen

Console

Wählen Sie Transport Layer Security (TLS) aktivieren aus, wenn Sie eine Redis-Instanz erstellen.

gcloud

Geben Sie zum Erstellen einer Redis-Instanz mit TLS folgenden Befehl ein. Ersetzen Sie dabei variables durch die erforderlichen Werte:

gcloud beta redis instances create instance-id --transit-encryption-mode=SERVER_AUTHENTICATION --size=size --region=region-id

Wobei:

  • --transit-encryption-mode=SERVER_AUTHENTICATION aktiviert TLS für Ihre Instanz.

Zertifizierungsstellen herunterladen

Console

  1. Rufen Sie in der Cloud Console die Seite Memorystore for Redis auf.

    Memorystore for Redis

  2. Rufen Sie die Seite Instanzdetails Ihrer Instanz auf, indem Sie auf Ihre Instanz-ID klicken.

  3. Klicken Sie unter TLS-Serverzertifikat auf eine der Schaltflächen Herunterladen oder Alle herunterladen.

gcloud

Wenn TLS für Ihre Instanz aktiviert ist, sehen Sie bei Ausführung des folgenden Befehls den Inhalt der Zertifizierungsstelle(n):

gcloud beta redis instances describe instance-id --region=region

Der Antworttext enthält alle anwendbaren Zertifizierungsstellen. Im Folgenden finden Sie eine Beispielzertifizierungsstelle für Memorystore for Redis:

-----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
lEtWs4V/YBhKA56CW6ASZS8=
-----END CERTIFICATE-----

Kopieren und speichern Sie alle Zertifizierungsstellen vorübergehend, damit Sie sie auf Clients installieren können, die auf die Redis-Instanz zugreifen.

Zertifizierungsstellen auf Ihrem Client installieren

Sie müssen die Zertifizierungsstelle(n) Ihrer Redis-Instanz auf dem verbindenden Client installieren. Die Installation der Zertifizierungsstelle kann je nach Clienttyp variieren. In folgenden Schritten wird erläutert, wie Sie eine Zertifizierungsstelle auf einer Compute Engine-Linux-VM installieren.

  1. Stellen Sie eine SSH-Verbindung zu Ihrem Compute Engine-Linux-Client her. Dieser Client muss sich in derselben Region wie Ihre Redis-Instanz befinden, damit eine Verbindung hergestellt werden kann.

  2. Erstellen Sie mit folgendem Befehl eine Datei mit dem Namen server_ca.pem in Ihrem Client:

    sudo vim /tmp/server_ca.pem
    
  3. Laden Sie die Zertifizierungsstelle herunter und fügen Sie sie in die zuvor erstellte server_ca.pem-Datei ein.

    Der Text der Zertifizierungsstelle muss korrekt formatiert sein:

    • Kopieren Sie die gesamte Zertifizierungsstelle, einschließlich der Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.
    • Der Text der Zertifizierungsstelle muss vollständig linksbündig sein. Vor Zertifizierungsstellenzeilen dürfen keine Leerzeichen stehen.

Client für TLS konfigurieren

Der Client, mit dem Sie eine Verbindung zur Redis-Instanz herstellen, muss TLS unterstützen oder eine Sidecar-Datei von einem Drittanbieter verwenden, um die TLS-Unterstützung zu aktivieren.

Wenn Ihr Client TLS unterstützt, konfigurieren Sie ihn so, dass er auf die IP-Adresse, den Port 6378 und die Datei mit der Zertifizierungsstelle verweist. Bei Verwendung eines Sidecars empfehlen wir die Verwendung von Stunnel

Zusätzliche Clientkonfiguration

Einige Clients akzeptieren selbstsignierte Zertifikate nicht und erfordern entsprechend eine zusätzliche Konfiguration.

Zum Beispiel ist Letuce ein beliebter Java-Client für Redis. Die Dokumentation enthält ein Beispiel für die native Verbindung mit TLS (siehe Beispiel 47). Da Java Security Manager standardmäßig keine selbst signierten Zertifikate zulässt, muss in der Redis-URI-Erstellung .withVerifyPeer(false) eine zusätzliche Option angegeben werden.

Sichere Verbindung zu einer Redis-Instanz über Stunnel und Telnet herstellen

Anleitungen zum Aktivieren von TLS für einen Compute Engine-Client über Stunnel finden Sie unter Sichere Verbindung mit einer Redis-Instanz über Stunnel und Telnet.

Rotation der Zertifizierungsstelle verwalten

Sie sollten alle herunterladbaren Zertifizierungsstellen auf Clients, die auf die Redis-Instanz zugreifen, installieren.

Die Installation einer neuen Zertifizierungsstelle, sobald verfügbar, zusätzlich zur vorherigen Zertifizierungsstelle ist die einfachste Möglichkeit, sicherzustellen, dass die erforderliche Zertifizierungsstelle bei einer Zertifizierungsstellen-Rotation vorhanden ist.

Führen Sie folgenden Befehl aus nachdem eine neue Zertifizierungsstelle eingeführt wurde, um den Inhalt der neuen Zertifizierungsstelle aufzurufen:

gcloud beta instances describe instance-id --region=region

Kopieren Sie anschließend die neueste Zertifizierungsstelle und fügen Sie sie in die Datei auf Ihrem Client ein, in der die vorherige Zertifizierungsstelle gespeichert ist.

Die Datei muss das folgende Format haben. Die Reihenfolge der CAs spielt keine Rolle:

-----BEGIN CERTIFICATE-----
MIIDnTCCAoWgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBhTEtMCsGA1UELhMkNzYx
NTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2YxOWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29n
bGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVkaXMgU2VydmVyIENBMRQwEgYDVQQKEwtH
b29nbGUsIEluYzELMAkGA1UEBhMCVVMwHhcNMjAwOTE3MjEzNDE1WhcNMzAwOTE1
MjEzNTE1WjCBhTEtMCsGA1UELhMkNzYxNTc4OGMtMTI2Yi00Nzk0LWI2MWMtY2Yx
OWE2Y2Y1ZjNiMTEwLwYDVQQDEyhHb29nbGUgQ2xvdWQgTWVtb3J5c3RvcmUgUmVk
aXMgU2VydmVyIENBMRQwEgYDVQQKEwtHb29nbGUsIEluYzELMAkGA1UEBhMCVVMw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCyDKmDHZm6tzMhNtKOnp8H
8+zTv1qA6OkBToVqCjKTTMGO18ovNtAAMjbGvclLuJNLbA2WTTWVttHen6Cn82h0
3gG9HMk9AwK1cVT7gW072h++TRsYddIRlwnSweRWL8jUX+PNt7CjFqH+sma/Hb1m
CktHdBOa897JiYHrMVNTcpS8SFwwz05yHUTEVGlHdkvlaJXfHLe6keCMABLyjaMh
1Jl4gZI2WqLMV680pJusK6FI6q/NmqENFc9ywMEg395lHTK9w9e014WIXg0q7sU3
84ChVVS2yYOMEUWeov4Qx6XeVfA4ss5t7OCqsMQkvslkE90mJZcVvhBj3QvTH9Rz
AgMBAAGjFjAUMBIGA1UdEwEB/wQIMAYBAf8CAQAwDQYJKoZIhvcNAQELBQADggEB
AJkn+MDE4V10DZn4uEc0s0Mg4FEMC1fDewmDYwSNnxRlzfEi+wAX2AaqrJ4m4Qa7
xIyuSYxArEOY6QeyJyw7/06dom8aAv4aO2p8hE04Ih6QwaTMFIlT2Jf6TidVd3eT
wfjwFJVoJ+dgxsaCv2uMFZWee5aRHmKzj9LhqPwpWnTs9Q/qmOheUNoe2/1i8yvn
662M7RZMR7fZH6ETsdz5w1nPXXiRqJ7K0EGKoPNjMlYK3/U1X3sazI4tpMNgTdxG
rnNh9Sd9REMBmDCPj9dUI9k4hQX4yQZp96fnLT6cet22OPajEKnpzyqJs1s4iX/g
lEtWs4V/YBhKA56CW6ASZS8=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Um sicher zu stellen, dass Sie über die erforderliche Zertifizierungsstelle verfügen, müssen Sie nur prüfen, ob die in Ihrer Clientdatei gespeicherten Zertifizierungsstellen mit den von gcloud redis instances describe angezeigten übereinstimmen. Wenn eine Rotation beginnt sind mehrere Zertifizierungsstellen vorhanden, was genügend Zeit für Rotationen mit minimalen Ausfallzeiten bedingt.

Nächste Schritte