Configurazione dei certificati SSL/TLS

Questa pagina descrive come configurare un'istanza per l'utilizzo di SSL/TLS. Puoi anche scoprire di più su come Cloud SQL utilizza i certificati SSL/TLS autogestiti per connettersi in modo sicuro alle istanze Cloud SQL.

Panoramica

Cloud SQL crea automaticamente un certificato del server (server-ca.pem) quando crei l'istanza. Ti consigliamo di forzare l'utilizzo di SSL/TLS per tutte le connessioni.

Per convalidare l'identità client/server utilizzando i certificati SSL/TLS, devi creare un certificato client e scaricarli sulla tua macchina host client MySQL.

Se applichi SSL per un'istanza, l'istanza dovrà essere riavviata. Potrebbe essere necessario riavviare anche dopo la modifica dei certificati SSL/TLS. Quando è richiesto un riavvio, Cloud SQL riavvia automaticamente l'istanza. Il riavvio di un'istanza può comportare tempi di inattività.

Imposizione della crittografia SSL/TLS

Puoi utilizzare l'impostazione Modalità SSL per applicare la crittografia SSL nei seguenti modi:

  • Consenti connessioni non SSL/non TLS e SSL/TLS. Il certificato client non è verificato per le connessioni SSL/TLS. Questa è l'impostazione predefinita.

  • Consenti solo connessioni criptate con SSL/TLS. Il certificato client non è verificato per le connessioni SSL.

  • Consenti solo connessioni criptate con SSL/TLS e con certificati client validi.

Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per la tua istanza Cloud SQL, vengono accettate sia le connessioni SSL/TLS sia le connessioni non criptate e non sicure. Se non richiedi SSL/TLS per tutte le connessioni, le connessioni non criptate sono comunque consentite. Per questo motivo, se accedi all'istanza utilizzando l'IP pubblico, ti consigliamo vivamente di applicare SSL per tutte le connessioni.

Puoi connetterti direttamente alle istanze utilizzando i certificati SSL/TLS oppure utilizzare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL. Se ti connetti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL, le connessioni vengono criptate automaticamente con SSL/TLS. Con il proxy di autenticazione Cloud SQL e i connettori Cloud SQL, anche le identità client e server vengono verificate automaticamente, indipendentemente dall'impostazione della modalità SSL.

Per attivare la richiesta di SSL/TLS:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Seleziona una delle seguenti opzioni:
    • Consenti il traffico di rete non criptato (opzione non consigliata)
    • Consenti solo connessioni SSL. Questa opzione consente solo connessioni che utilizzano la crittografia SSL/TLS. I certificati non vengono convalidati.
    • Richiedere certificati client attendibili. Questa opzione consente solo connessioni da client che utilizzano un certificato client valido e sono criptati con SSL.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

Sostituisci SSL_ENFORCEMENT_MODE con una delle seguenti opzioni:

  • ALLOW_UNENCRYPTED_AND_ENCRYPTED consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.
  • ENCRYPTED_ONLY consente solo connessioni criptate con SSL/TLS. Il certificato client non è verificato per le connessioni SSL.
  • TRUSTED_CLIENT_CERTIFICATE_REQUIRED consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • Per maggiori informazioni, consulta Impostazioni per Cloud SQL per MySQL.

Terraform

Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform: 

resource "google_sql_database_instance" "mysql_instance" {
  name             = "mysql-instance"
  region           = "asia-northeast1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      require_ssl = "true"
      ssl_mode    = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle sezioni seguenti.

prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito a cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Se imposti valori espliciti nel file di configurazione Terraform, le variabili di ambiente vengono sostituite.

Prepara la directory

Ogni file di configurazione Terraform deve avere una propria directory (detta anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è indicato come main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata se lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory. 
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

    Attendi finché Terraform non visualizza il messaggio "Applicazione completata".

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, nel file di configurazione Terraform imposta l'argomento deletion_protection su false. 
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

  1. Rimuovi le risorse applicate in precedenza con la tua configurazione Terraform eseguendo il comando seguente e inserendo yes al prompt:

    terraform destroy

REST v1

  1. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    {
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Certificati server

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Finché il certificato del server è valido, non è necessario gestire attivamente il certificato del server. Tuttavia, il certificato ha una data di scadenza di 10 anni, dopodiché non sarà più valido e i client non saranno in grado di stabilire una connessione sicura alla tua istanza utilizzando il certificato. Riceverai periodicamente una notifica che ti informa che il certificato del server sta per scadere. Le notifiche vengono inviate il seguente numero di giorni prima della data di scadenza: 90, 30, 10, 2 e 1.

Puoi ottenere informazioni sul certificato del server, ad esempio quando è stato creato e quando scade, oppure crearne uno nuovo manualmente.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Vai alla sezione Gestisci i certificati server.

    Puoi visualizzare la data di scadenza del certificato del server nella tabella.

gcloud

  1. Recupera informazioni sul certificato di servizio: 
    gcloud beta sql ssl server-ca-certs list \
--instance=INSTANCE_NAME
  2. Crea un certificato del server: 
    gcloud beta sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale: 
    gcloud beta sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i tuoi client in modo da utilizzare le nuove informazioni copiando il file scaricato sui computer host dei client, sostituendo i file server-ca.pem esistenti.

Terraform

Per fornire informazioni sul certificato del server come output, utilizza un'origine dati Terraform:

  1. Aggiungi quanto segue al file di configurazione Terraform: 
       data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }
  2. Per creare il file server-ca.pem, esegui questo comando: 
       terraform output db_latest_ca_cert > server-ca.pem

Certificati client

Crea un nuovo certificato client

Puoi creare fino a 10 certificati client per ogni istanza. Per creare certificati client, devi avere il ruolo IAM Cloud SQL Admin.

Di seguito sono riportati alcuni aspetti importanti da conoscere sui certificati client:

  • Se perdi la chiave privata di un certificato, devi crearne uno nuovo. La chiave privata non può essere recuperata.
  • Per impostazione predefinita, il certificato client ha una data di scadenza di 10 anni.
  • Non riceverai notifiche quando i certificati client stanno per scadere.
  • Per creare un certificato SSL, l'istanza Cloud SQL deve essere in esecuzione.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic su Crea certificato client.
  6. Nella finestra di dialogo Crea un certificato client, aggiungi un nome univoco.
  7. Fai clic su Crea.
  8. Nella prima sezione della finestra di dialogo Nuovo certificato SSL creato, fai clic su Scarica client-key.pem per scaricare la chiave privata in un file denominato client-key.pem.
  9. Nella seconda sezione, fai clic su Scarica client-cert.pem per scaricare il certificato client in un file denominato client-cert.pem.
  10. Nella terza sezione, fai clic su Scarica server-ca.pem per scaricare il certificato del server in un file denominato server-ca.pem.
  11. Fai clic su Chiudi.

gcloud

  1. Crea un certificato client utilizzando il comando ssl client-certs create:

    gcloud sql ssl client-certs create CERT_NAME client-key.pem \
--instance=INSTANCE_NAME

  2. Recupera la chiave pubblica per il certificato appena creato e copiala nel file client-cert.pem con il comando ssl client-certs describe:

    gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

  3. Copia il certificato del server nel file server-ca.pem utilizzando il comando instances describe:

    gcloud sql instances describe INSTANCE_NAME \
--format="value(serverCaCert.cert)" > server-ca.pem

Terraform

Per creare un certificato client, utilizza una risorsa Terraform: 

resource "google_sql_ssl_cert" "mysql_client_cert" {
  common_name = "mysql_common_name"
  instance    = google_sql_database_instance.mysql_instance.name
}

REST v1

  1. Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: nome del certificato del client

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta: 

    {
  "commonName" : "client-cert-name"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutti i contenuti del certificato tra virgolette (ma non le virgolette stesse) dalla risposta in file locali, come segue:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

  3. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • activation-policy: il criterio di attivazione è SEMPRE o MAI.

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/restart

    Corpo JSON della richiesta: 

    {
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

  1. Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: nome del certificato del client

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta: 

    {
  "commonName" : "client-cert-name"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutti i contenuti del certificato tra virgolette (ma non le virgolette stesse) dalla risposta in file locali, come segue:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

  3. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • activation-policy: il criterio di attivazione è SEMPRE o MAI.

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/restart

    Corpo JSON della richiesta: 

    {
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

A questo punto, hai:

  • Un certificato del server salvato come server-ca.pem.
  • Un certificato di chiave pubblica client salvato come client-cert.pem.
  • Una chiave privata del client salvata come client-key.pem.

A seconda dello strumento utilizzato per la connessione, questi tre elementi vengono specificati in modi diversi. Ad esempio, quando ti connetti utilizzando il client MySQL, questi tre file sono i valori rispettivamente per le opzioni dei comandi --ssl-ca, --ssl-cert e --ssl-key. Per un esempio di connessione utilizzando il client MySQL e SSL/TLS, consulta Connessione al client MySQL.

Passaggi successivi