配置 SSL/TLS 证书

MySQL | PostgreSQL | SQL Server

本页面介绍如何对实例强制使用 SSL/TLS 加密以确保所有连接均已加密。您还可以详细了解 Cloud SQL 如何使用自行管理的 SSL/TLS 证书安全地连接到 Cloud SQL 实例。

概览

当您创建实例时，Cloud SQL 会自动创建一个服务器证书。我们建议您强制所有连接使用 SSL/TLS。

如需使用 SSL/TLS 证书验证客户端/服务器身份，您需要创建客户端证书并将证书下载到 MySQL 客户端宿主机。

如果您对实例强制执行 SSL，则该实例需要重启。更改 SSL/TLS 证书后，可能也需要重启。如果需要重启，则 Cloud SQL 会自动为您重启实例。重启实例可能会导致停机。

强制执行 SSL/TLS 加密

您可以使用 SSL 模式设置，通过以下方式强制执行 SSL 加密：

允许非 SSL/非 TLS 和 SSL/TLS 连接。对于 SSL/TLS 连接，不验证客户端证书。这是默认设置。
仅允许使用 SSL/TLS 加密的连接。对于 SSL 连接，不验证客户端证书。

仅允许使用 SSL/TLS 加密并具有有效客户端证书的连接。

如果您为 Cloud SQL 实例选择允许非 SSL/非 TLS 和 SSL/TLS 连接，则将接受 SSL/TLS 连接以及未加密的不安全连接。如果您不要求所有连接使用 SSL/TLS，则系统仍会允许未加密的连接。因此，如果您使用公共 IP 地址访问实例，我们强烈建议您对所有连接强制执行 SSL。

您可以使用 SSL/TLS 证书直接连接到实例，也可以使用 Cloud SQL Auth 代理或 Cloud SQL 连接器进行连接。如果您使用 Cloud SQL Auth 代理或 Cloud SQL 连接器进行连接，则连接会使用 SSL/TLS 自动加密。无论 SSL 模式设置如何，使用 Cloud SQL Auth 代理和 Cloud SQL 连接器还会自动验证客户端和服务器身份。

如需启用“要求使用 SSL/TLS”，请执行以下操作：

控制台

在 Google Cloud 控制台中，转到 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
如需打开实例的概览页面，请点击实例名称。
点击 SQL 导航菜单中的连接。
选择安全标签页。
从下列选项中选择一项：
- 允许未加密的网络流量（不推荐）
- 只允许 SSL 连接。此选项仅允许使用 SSL/TLS 加密的连接。不验证证书。
- 需要受信任的客户端证书。此选项仅允许来自使用有效客户端证书的客户端且经过 SSL 加密的连接。

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

将 SSL_ENFORCEMENT_MODE 替换为以下某个选项：

ALLOW_UNENCRYPTED_AND_ENCRYPTED 允许非 SSL/非 TLS 和 SSL/TLS 连接。对于 SSL 连接，不验证客户端证书。此设置为默认值。
ENCRYPTED_ONLY 仅允许使用 SSL/TLS 加密的连接。对于 SSL 连接，不验证客户端证书。
TRUSTED_CLIENT_CERTIFICATE_REQUIRED 仅允许使用 SSL/TLS 加密并具有有效客户端证书的连接。

Cloud SQL for MySQL 的设置

Terraform

如需强制执行 SSL/TLS 加密，请使用 Terraform 资源：

resource "google_sql_database_instance" "mysql_instance" {
  name             = "mysql-instance"
  region           = "asia-northeast1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      ssl_mode = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

应用更改

如需在 Google Cloud 项目中应用 Terraform 配置，请完成以下部分中的步骤。

准备 Cloud Shell

启动 Cloud Shell。
设置要在其中应用 Terraform 配置的默认 Google Cloud 项目。

您只需为每个项目运行一次以下命令，即可在任何目录中运行它。
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
如果您在 Terraform 配置文件中设置显式值，则环境变量会被替换。

准备目录

每个 Terraform 配置文件都必须有自己的目录（也称为“根模块”）。

在 Cloud Shell 中，创建一个目录，并在该目录中创建一个新文件。文件名必须具有 .tf 扩展名，例如 main.tf。在本教程中，该文件称为 main.tf。
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
如果您按照教程进行操作，可以在每个部分或步骤中复制示例代码。

将示例代码复制到新创建的 main.tf 中。

（可选）从 GitHub 中复制代码。如果端到端解决方案包含 Terraform 代码段，则建议这样做。
查看和修改要应用到您的环境的示例参数。
保存更改。
初始化 Terraform。您只需为每个目录执行一次此操作。
```
terraform init
```
（可选）如需使用最新的 Google 提供程序版本，请添加 -upgrade 选项：
```
terraform init -upgrade
```

应用更改

查看配置并验证 Terraform 将创建或更新的资源是否符合您的预期：
```
terraform plan
```
根据需要更正配置。
通过运行以下命令并在提示符处输入 yes 来应用 Terraform 配置：
```
terraform apply
```
等待 Terraform 显示“应用完成！”消息。
打开您的 Google Cloud 项目以查看结果。在 Google Cloud 控制台的界面中找到资源，以确保 Terraform 已创建或更新它们。

删除更改

如需删除更改，请执行以下操作：

如需停用删除防护，请在 Terraform 配置文件中将 deletion_protection 参数设置为 false。
```
deletion_protection =  "false"
```
运行以下命令并在提示符处输入 yes，以应用更新后的 Terraform 配置：
```
terraform apply
```

运行以下命令并在提示符处输入 yes，以移除之前使用 Terraform 配置应用的资源：
```
terraform destroy
```

REST v1

在使用任何请求数据之前，请先进行以下替换：
- PROJECT_ID：项目 ID
- SSL_ENFORCEMENT_MODE：使用以下任一选项：
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED：允许非 SSL/非 TLS 和 SSL/TLS 连接。对于 SSL 连接，不验证客户端证书。此设置为默认值。
  - ENCRYPTED_ONLY：仅允许使用 SSL/TLS 加密的连接。
  - TRUSTED_CLIENT_CERTIFICATE_REQUIRED：仅允许使用 SSL/TLS 加密并具有有效客户端证书的连接。
- INSTANCE_ID：实例 ID
HTTP 方法和网址：
```
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID
```
请求 JSON 正文：
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
如需发送您的请求，请展开以下选项之一：
curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
您应该收到类似以下内容的 JSON 响应：
响应
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

REST v1beta4

在使用任何请求数据之前，请先进行以下替换：
- PROJECT_ID：项目 ID
- SSL_ENFORCEMENT_MODE：使用以下任一选项：
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED：允许非 SSL/非 TLS 和 SSL/TLS 连接。对于 SSL 连接，不验证客户端证书。此设置为默认值。
  - ENCRYPTED_ONLY：仅允许使用 SSL/TLS 加密的连接。
  - TRUSTED_CLIENT_CERTIFICATE_REQUIRED：仅允许使用 SSL/TLS 加密并具有有效客户端证书的连接。
- INSTANCE_ID：实例 ID
HTTP 方法和网址：
```
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
```
请求 JSON 正文：
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
如需发送您的请求，请展开以下选项之一：
curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
您应该收到类似以下内容的 JSON 响应：
响应
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

服务器证书

当您创建实例时，Cloud SQL 会自动创建一个服务器证书。只要此服务器证书有效，您就无需主动管理服务器证书。借助 Cloud SQL，您可以从三种不同的证书授权机构 (CA) 层次结构中进行选择。您选择的 CA 层次结构将成为实例的服务器 CA 模式。如果您使用每个实例的 CA 作为实例的服务器 CA 模式，则服务器证书的失效日期为 10 年。如果您使用共享 CA 或客户管理的 CA 作为实例的服务器 CA 模式，则服务器证书的失效日期为 1 年*。失效日期之后，服务器证书将不再有效，客户端也无法再使用该证书与实例之间建立安全连接。如果客户端配置为验证 CA 或验证服务器证书中的主机名，则该客户端与服务器证书已过期的 Cloud SQL 实例的连接将失败。为避免客户端连接中断，请在服务器证书过期之前变换服务器证书。系统会定期通知您服务器证书即将失效。通知在失效日期前的以下天数发送：90、30、10、2 和 1。

对于客户管理的 CA，如果您为 CA 的有效期选择了较短的失效日期，则服务器证书的失效日期可能会少于 1 年。

列出和创建服务器证书

如需在 Google Cloud 控制台中查看服务器证书的详细信息，请前往连接页面，然后点击安全标签页。

在证书表中，您可以看到以下详细信息：

证书状态：即将生效、有效或已失效

即将生效：证书可供使用，但尚未生效。如需使证书生效，请使用变换过程。
有效：证书正在使用中。
已失效：证书已不再使用。如需使证书生效，请使用回滚过程。

已创建：创建证书的日期和时间
失效：证书的失效日期和时间

在有效证书失效之前，您可以手动创建新证书。

控制台

对于使用自签名服务器证书（每个实例的 CA）的实例：

在 Google Cloud 控制台中，转到 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
如需打开实例的概览页面，请点击实例名称。
点击 SQL 导航菜单中的连接。
选择安全标签页。
前往管理服务器 CA 证书部分。
点击展开管理证书。
点击创建新的 CA 证书。

新的服务器 CA 证书会显示在即将生效空档中。如果您想立即变换为新的服务器 CA 证书，请通过更新客户端并完成变换来执行服务器 CA 证书变换。

对于使用共享 CA 颁发的服务器证书的实例：

在 Google Cloud 控制台中，转到 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
如需打开实例的概览页面，请点击实例名称。
点击 SQL 导航菜单中的连接。
选择安全标签页。
前往管理服务器证书部分。
点击展开管理证书。
点击创建服务器证书。

新的服务器证书会显示在即将生效空档中。如果您想立即使用新的服务器证书，请通过更新客户端并完成变换来执行服务器证书变换。

gcloud

对于使用自签名服务器证书（每个实例的 CA）的实例：

如需获取有关服务器证书的信息，请使用 sql ssl server-ca-certs list 命令：
```
gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME
```
如需创建服务器证书，请使用 sql ssl server-ca-certs create 命令：
```
gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
```

将证书信息下载到本地 PEM 文件中：

gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

通过将下载的文件复制到客户端宿主机上并替换现有的 server-ca.pem 文件，将所有客户端更新为使用新信息。

对于使用共享 CA 颁发的服务器证书的实例（预览版）：

如需获取有关服务器证书的信息，请使用 sql ssl server-certs list 命令：
```
gcloud sql ssl server-certs list \
   --instance=INSTANCE_NAME
```
如需创建服务器证书，请使用 sql ssl server-certs create 命令：
```
gcloud sql ssl server-certs create \
   --instance=INSTANCE_NAME
```

将证书信息下载到本地 PEM 文件中：

gcloud sql ssl server-certs list \
   --format="value(ca_cert.cert)" \
   --instance=INSTANCE_NAME > \
   FILE_PATH/FILE_NAME.pem

通过将下载的文件复制到客户端宿主机上并替换现有的 server-ca.pem 文件，将所有客户端更新为使用新信息。

Terraform

如需提供服务器证书信息作为输出，请使用 Terraform 数据源：

将以下内容添加到 Terraform 配置文件中：

   data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }

如要创建 server-ca.pem 文件，请运行以下命令：

   terraform output db_latest_ca_cert > server-ca.pem

客户端证书

新建客户端证书

您最多可为每个实例创建 10 个客户端证书。如需创建客户端证书，您必须具有 Cloud SQL Admin IAM 角色。

以下是您需要了解的关于客户端证书的重要注意事项：

如果您丢失了证书的私钥，则必须新建一个新密钥，私钥无法恢复。
默认情况下，客户端证书的有效期为 10 年。
当客户端证书即将到期时，您不会收到通知。
您的 Cloud SQL 实例必须处于运行状态才能创建 SSL 证书。

控制台

在 Google Cloud 控制台中，转到 Cloud SQL 实例页面。

转到“Cloud SQL 实例”
如需打开实例的概览页面，请点击实例名称。
点击 SQL 导航菜单中的连接。
选择安全标签页。
点击创建客户端证书。
在创建客户端证书对话框中，添加一个唯一名称。
点击创建。
在已创建新的 SSL 证书对话框的第一部分，点击下载 client-key.pem，将私钥下载到名为 client-key.pem 的文件中。
重要提示：请将此私钥存储在一个安全位置。如果私钥丢失，您必须创建一个新的客户端证书。
在第二部分，点击下载 client-cert.pem，将客户端证书下载到名为 client-cert.pem 的文件中。
在第三部分，点击下载 server-ca.pem，将服务器证书下载到名为 server-ca.pem 的文件中。
点击关闭。

gcloud

使用 ssl client-certs create 命令创建客户端证书：
```
gcloud sql ssl client-certs create CERT_NAME client-key.pem \
--instance=INSTANCE_NAME
```
重要提示：请将此私钥存储在一个安全位置。如果私钥丢失，您必须创建一个新的客户端证书。

使用 ssl client-certs describe 命令检索您刚刚创建的证书的公钥，并将其复制到 client-cert.pem 文件中：

gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

使用 instances describe 命令将服务器证书复制到 server-ca.pem 文件：

gcloud sql instances describe INSTANCE_NAME \
--format="value(serverCaCert.cert)" > server-ca.pem

Terraform

如需创建客户端证书，请使用 Terraform 资源：

resource "google_sql_ssl_cert" "mysql_client_cert" {
  common_name = "mysql_common_name"
  instance    = google_sql_database_instance.mysql_instance.name
}

REST v1

创建一个 SSL/TLS 证书，为其指定对于此实例唯一的名称：

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
client-cert-name：客户端证书名称

HTTP 方法和网址：

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

请求 JSON 正文：

{
  "commonName" : "client-cert-name"
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

响应

{
  "kind": "sql#sslCertsInsert",
  "operation": {
    "kind": "sql#operation",
    "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
    "status": "PENDING",
    "user": "user@example.com",
    "operationType": "UPDATE",
    "name": "operation-id",
    "targetId": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
    "targetProject": "doc-test-01",
    "insertTime": "2020-02-13T00:11:20.677Z"
  },
  "serverCaCert": {
    "kind": "sql#sslCert",
    "certSerialNumber": "server-cert-serial-number",
    "cert": "server-cert-value",
    "commonName": "server-cert-name,
    "sha1Fingerprint": "server-cert-sha1Fingerprint",
    "instance": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/operation-id",
    "createTime": "2019-11-25T20:12:06.764Z",
    "expirationTime": "2029-11-22T20:13:06.764Z"
  },
  "clientCert": {
    "certInfo": {
      "kind": "sql#sslCert",
      "certSerialNumber": "client-cert-serial-number-2",
      "cert": "client-cert-value",
      "commonName": "client-cert-name",
      "sha1Fingerprint": "client-cert-sha1Fingerprint-2",
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/operation-id",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    },
    "certPrivateKey": "private-key-value"
  }
}

将响应中英文引号内的所有证书内容（不包括英文引号本身）复制到本地文件中，如下所示：
1. 将 serverCaCert.cert 复制到 server-ca.pem。
2. 将 clientCert.cert 复制到 client-cert.pem。
3. 将 certPrivateKey 复制到 client-key.pem。
重要提示：请将此私钥存储在一个安全位置。如果私钥丢失，您必须创建一个新的客户端证书。

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
activation-policy：激活政策为 ALWAYS 或 NEVER

HTTP 方法和网址：

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/restart

请求 JSON 正文：

{
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/restart"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/restart" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

创建一个 SSL/TLS 证书，为其指定对于此实例唯一的名称：

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
client-cert-name：客户端证书名称

HTTP 方法和网址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

请求 JSON 正文：

{
  "commonName" : "client-cert-name"
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

响应

{
  "kind": "sql#sslCertsInsert",
  "operation": {
    "kind": "sql#operation",
    "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
    "status": "PENDING",
    "user": "user@example.com",
    "operationType": "UPDATE",
    "name": "operation-id",
    "targetId": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
    "targetProject": "doc-test-01",
    "insertTime": "2020-02-13T00:11:20.677Z"
  },
  "serverCaCert": {
    "kind": "sql#sslCert",
    "certSerialNumber": "server-cert-serial-number",
    "cert": "server-cert-value",
    "commonName": "server-cert-name,
    "sha1Fingerprint": "server-cert-sha1Fingerprint",
    "instance": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/operation-id",
    "createTime": "2019-11-25T20:12:06.764Z",
    "expirationTime": "2029-11-22T20:13:06.764Z"
  },
  "clientCert": {
    "certInfo": {
      "kind": "sql#sslCert",
      "certSerialNumber": "client-cert-serial-number-2",
      "cert": "client-cert-value",
      "commonName": "client-cert-name",
      "sha1Fingerprint": "client-cert-sha1Fingerprint-2",
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/operation-id",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    },
    "certPrivateKey": "private-key-value"
  }
}

将响应中英文引号内的所有证书内容（不包括英文引号本身）复制到本地文件中，如下所示：
1. 将 serverCaCert.cert 复制到 server-ca.pem。
2. 将 clientCert.cert 复制到 client-cert.pem。
3. 将 certPrivateKey 复制到 client-key.pem。
重要提示：请将此私钥存储在一个安全位置。如果私钥丢失，您必须创建一个新的客户端证书。

在使用任何请求数据之前，请先进行以下替换：

project-id：项目 ID
instance-id：实例 ID
activation-policy：激活政策为 ALWAYS 或 NEVER

HTTP 方法和网址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/restart

请求 JSON 正文：

{
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/restart"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/restart" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

此时，您会获得如下结果：

另存为 server-ca.pem 的服务器证书。
另存为 client-cert.pem 的客户端公钥证书。
另存为 client-key.pem 的客户端私钥。

根据您在建立连接时所使用工具的不同，这三个项目的指定方式也会有所不同。例如，使用 MySQL 客户端建立连接时，这三个文件分别是 --ssl-ca、--ssl-cert 和 --ssl-key 命令选项的值。有关使用 MySQL 客户端和 SSL/TLS 的示例连接，请参阅使用 MySQL 客户端连接。

关于服务器身份验证

服务器身份验证取决于 Cloud SQL 实例的服务器证书授权机构 (CA) 层次结构配置。

对于使用每个实例的 CA 的实例，验证 CA 也会验证服务器身份，因为每个实例都有一个唯一的 CA。对于使用共享 CA 的实例（预览版），由于服务器 CA 在各个实例之间共享，因此需要验证主机名以及验证 CA 才能验证服务器身份。

如果您使用的是每个实例的 CA，则只能对 Private Service Connect 实例执行基于 DNS 名称的服务器身份验证。如果您使用的是共享 CA（预览版），则可以对所有类型的实例（即 Private Service Connect、专用服务访问通道和公共 IP 实例）执行基于 DNS 名称的服务器身份验证。

如果您使用的是客户管理的 CA（预览版），则可以验证 CA 信任链，并对使用客户管理的 CA 作为其 serverCAmode 的任何类型的实例执行基于 DNS 名称的服务器身份验证。

您可以查看实例详情，了解为 Cloud SQL 实例配置了哪个 CA 层次结构。如需了解详情，请参阅查看实例信息。

启用服务器身份验证

如果您选择共享 CA 作为 Cloud SQL 实例的服务器 CA 模式（预览版），我们建议您也启用服务器身份验证。使用共享 CA 作为服务器 CA 模式的实例在服务器证书的主题备用名称 (SAN) 字段中包含实例 DNS 名称。您可以使用实例查找 API 获取此 DNS 名称，并将响应用作服务器身份验证的主机名。您需要为 DNS 名称设置 DNS 解析。

如需启用服务器身份验证，请完成以下步骤：

检索 DNS 名称。
1. 如需查看有关 Cloud SQL 实例的摘要信息（包括实例的 DNS 名称），请使用 gcloud sql instances describe 命令：
```
gcloud sql instances describe INSTANCE_NAME \
  --project=PROJECT_ID
```
  进行以下替换：
  - INSTANCE_NAME：Cloud SQL 实例的名称
  - PROJECT_ID：包含实例的 Google Cloud 项目的 ID 或项目编号
2. 在响应中，验证是否显示 DNS 名称。此名称的格式如下：
```
INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.
```
  例如：
  
  1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.
在 DNS 区域中创建 DNS 记录。如果您要以非公开方式进行连接，请在相应 Virtual Private Cloud (VPC) 网络的专用 DNS 区域中创建 DNS 记录。
连接到 Cloud SQL for MySQL 实例时，请将 DNS 名称配置为主机名。然后在客户端中启用服务器身份验证。

例如，使用 MySQL 客户端时，请指定 --ssl-mode=VERIFY_IDENTITY 标志。其他 MySQL 客户端驱动程序具有类似的配置标志。

后续步骤

在 Cloud SQL 实例上管理 SSL/TLS 证书。
详细了解在 Google Cloud中处理加密的方式。
使用 SSL/TLS 证书连接到您的 Cloud SQL 实例。
详细了解 MySQL 如何使用 SSL/TLS。

配置 SSL/TLS 证书 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

概览

强制执行 SSL/TLS 加密

控制台

gcloud

Terraform

应用更改

准备 Cloud Shell

准备目录

应用更改

删除更改

REST v1

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

响应

REST v1beta4

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

响应

服务器证书

列出和创建服务器证书

控制台

gcloud

Terraform

客户端证书

新建客户端证书

控制台

gcloud

Terraform

REST v1

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

响应

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

REST v1beta4

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

响应

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

关于服务器身份验证

启用服务器身份验证

后续步骤

配置 SSL/TLS 证书