本页面介绍了如何将实例配置为使用 SSL/TLS。详细了解如何将 SSL/TLS 与 Cloud SQL 搭配使用 。
概览
当您创建实例时,Cloud SQL 会自动创建一个服务器证书。
要使用 SSL/TLS,您需要创建一个客户端证书并将证书下载到 MySQL 客户端主机。如果您计划使用 SSL/TLS 进行连接,我们建议您对所有连接强制使用 SSL/TLS。
要求使用 SSL/TLS
当要求启用 SSL/TLS 时,您可以使用 Cloud SQL 代理或 SSL/TLS 证书连接到 Cloud SQL 实例。如果不要求使用 SSL/TLS,那么也会允许没有有效证书的客户端建立连接。
如需启用要求使用 SSL/TLS,请执行以下操作:
控制台
转到 Google Cloud Console 中的“Cloud SQL 实例”页面。转到“Cloud SQL 实例”页面
点击实例名称,以打开其实例详情 页面。
点击左侧导航窗格中的连接 链接。
向下滚动到 SSL 连接 部分。
点击只允许 SSL 连接 。
gcloud
gcloud sql instances patch [INSTANCE_NAME] --require-ssl
REST
在使用下面的请求数据之前,请先进行以下替换:
project-id :项目 IDinstance-id :实例 ID
HTTP 方法和网址:
PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id
请求 JSON 正文:
{
"settings": {
"ipConfiguration": {"requireSsl": "true"}
}
}
如需发送您的请求,请展开以下选项之一:
curl(Linux、macOS 或 Cloud Shell)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
curl -X PATCH \project-id /instances/instance-id
PowerShell (Windows)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
$cred = gcloud auth print-access-tokenproject-id /instances/instance-id " | Select-Object -Expand Content
您应会收到如下所示的 JSON 响应:
响应
{
"kind": "sql#operation",
"targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id ",
"status": "PENDING",
"user": "user@example.com",
"insertTime": "2020-01-20T21:30:35.667Z",
"operationType": "UPDATE",
"name": "operation-id ",
"targetId": "instance-id ",
"selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /operations/operation-id ",
"targetProject": "project-id "
}
服务器证书
当您创建实例时,Cloud SQL 会自动创建一个服务器证书。只要该服务器证书有效,您就无需主动管理服务器证书 。但是,服务器证书是有失效日期的(即 10 年);此日期过后,该证书就不再有效,客户端也无法再使用该证书与您的实例之间建立安全连接。
您可以通过控制台获取服务器证书的相关信息,例如该证书的创建时间和到期时间。您也可以手动创建一个新证书。
控制台
转到 Google Cloud Console 中的“Cloud SQL 实例”页面。
转到“Cloud SQL 实例”页面
点击实例名称,以打开其实例详情 页面。
点击左侧导航窗格中的连接 链接。
向下滚动到配置 SSL 服务器证书 部分。
您可以在表中查看服务器证书的失效日期。
客户端证书
新建客户端证书
您最多可为每个实例创建 10 个客户端证书。如果某个证书的私钥丢失,您必须新建一个证书,因为私钥无法恢复。
Console(第二代)
转到 Google Cloud Console 中的“Cloud SQL 实例”页面。
转到“Cloud SQL 实例”页面
点击实例名称,以打开其实例详情 页面。
点击左侧导航窗格中的连接 链接。
向下滚动到配置 SSL 客户端证书 部分。
点击创建客户端证书 。
在创建客户端证书 对话框中,添加一个唯一名称。
点击创建 。
在已创建新的 SSL 证书 对话框的第一部分,点击下载 client-key.pem ,将私钥下载到名为 client-key.pem 的文件中。重要提示 :请将此私钥存储在一个安全位置。
如果私钥丢失,您必须创建一个新的客户端证书。
在第二部分,点击下载 client-cert.pem ,将客户端证书下载到名为 client-cert.pem 的文件中。
在第三部分,点击下载 server-ca.pem ,将服务器证书下载到名为 server-ca.pem 的文件中。
点击关闭 。
Console(第一代)
此任务需要重启 Cloud SQL 实例。
转到 Google Cloud Console 中的“Cloud SQL 实例”页面。
转到“Cloud SQL 实例”页面
点击实例名称,以打开其实例详情 页面。
点击左侧导航窗格中的连接 链接。
在客户端证书 部分中,点击创建客户端证书 。
在新建客户端证书 对话框中,为证书指定一个唯一名称,然后点击添加 。
在已创建新的 SSL 证书 对话框的第一部分,点击链接,将私钥下载到名为 client-key.pem 的文件中。重要提示 :请将此私钥存储在一个安全位置。
如果私钥丢失,您必须创建一个新的客户端证书。
在第二部分,点击链接,将客户端证书下载到名为 client-cert.pem 的文件中。
在第三部分,点击链接,将服务器证书下载到名为 server-ca.pem 的文件中。
点击关闭并重启 以立即重启实例,或点击关闭 并在稍后手动重启 实例。
启用证书需要重启实例。
gcloud
对于第一代实例,此任务需要重启 Cloud SQL 实例。
注意 :第二代实例已取代第一代实例;对第一代实例的支持已于 2020 年 1 月 30 日结束,您无法再创建第一代实例。如需将第一代实例升级到第二代,请参阅将第一代实例升级到第二代 。
使用 ssl client-certs create
gcloud sql ssl client-certs create [CERT_NAME] client-key.pem --instance=[INSTANCE_NAME]
重要提示 :请将此私钥存储在一个安全位置。
如果私钥丢失,您必须创建一个新的客户端证书。使用 ssl client-certs describeclient-cert.pem 文件中:
gcloud sql ssl client-certs describe [CERT_NAME] --instance=[INSTANCE_NAME] --format="value(cert)" > client-cert.pem
使用 instances describeserver-ca.pem 文件:
gcloud sql instances describe [INSTANCE_NAME] --format="value(serverCaCert.cert)" > server-ca.pem
重启实例以启用证书和 SSL/TLS 配置更改(对于第一代实例)。
注意 :第二代实例已取代第一代实例;对第一代实例的支持已于 2020 年 1 月 30 日结束,您无法再创建第一代实例。如需将第一代实例升级到第二代,请参阅将第一代实例升级到第二代 。
gcloud sql instances restart [INSTANCE_NAME]
REST
对于第一代实例,此任务需要重启 Cloud SQL 实例。
注意 :第二代实例已取代第一代实例;对第一代实例的支持已于 2020 年 1 月 30 日结束,您无法再创建第一代实例。如需将第一代实例升级到第二代,请参阅将第一代实例升级到第二代 。
创建一个 SSL/TLS 证书,为其指定对于此实例唯一的名称:
在使用下面的请求数据之前,请先进行以下替换:
project-id :项目 IDinstance-id :实例 IDclient-cert-name :客户端证书名称
HTTP 方法和网址:
POST https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id /sslCerts
请求 JSON 正文:
{
"commonName" : "client-cert-name "
}
如需发送您的请求,请展开以下选项之一:
curl(Linux、macOS 或 Cloud Shell)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
curl -X POST \project-id /instances/instance-id /sslCerts
PowerShell (Windows)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
$cred = gcloud auth print-access-tokenproject-id /instances/instance-id /sslCerts" | Select-Object -Expand Content
您应会收到如下所示的 JSON 响应:
响应
{
"kind": "sql#sslCertsInsert",
"operation": {
"kind": "sql#operation",
"targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id ",
"status": "PENDING",
"user": "user@example.com",
"operationType": "UPDATE",
"name": "operation-id ",
"targetId": "instance-id ",
"selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /operations/operation-id ",
"targetProject": "doc-test-01",
"insertTime": "2020-02-13T00:11:20.677Z"
},
"serverCaCert": {
"kind": "sql#sslCert",
"certSerialNumber": "server-cert-serial-number ",
"cert": "server-cert-value ",
"commonName": "server-cert-name ,
"sha1Fingerprint": "server-cert-sha1Fingerprint ",
"instance": "instance-id ",
"selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id /sslCerts/operation-id ",
"createTime": "2019-11-25T20:12:06.764Z",
"expirationTime": "2029-11-22T20:13:06.764Z"
},
"clientCert": {
"certInfo": {
"kind": "sql#sslCert",
"certSerialNumber": "client-cert-serial-number-2 ",
"cert": "client-cert-value ",
"commonName": "client-cert-name ",
"sha1Fingerprint": "client-cert-sha1Fingerprint-2 ",
"instance": "instance-id ",
"selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id /sslCerts/operation-id ",
"createTime": "2020-02-13T00:10:20.595Z",
"expirationTime": "2030-02-10T00:11:20.595Z"
},
"certPrivateKey": "private-key-value "
}
}
将响应中引号内的所有证书内容(不包括引号本身)复制到本地文件中,具体如下:将 serverCaCert.cert 复制到 server-ca.pem。
将 clientCert.cert 复制到 client-cert.pem。
将 certPrivateKey 复制到 client-key.pem。
重要提示 :请将此私钥存储在一个安全位置。如果私钥丢失,您必须创建一个新的客户端证书。
重启实例(对于第一代实例):
注意 :第二代实例已取代第一代实例;对第一代实例的支持已于 2020 年 1 月 30 日结束,您无法再创建第一代实例。如需将第一代实例升级到第二代,请参阅将第一代实例升级到第二代 。在使用下面的请求数据之前,请先进行以下替换:
project-id :项目 IDinstance-id :实例 IDactivation-policy :激活政策为 ALWAYS 或 NEVER
HTTP 方法和网址:
POST https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id /restart
请求 JSON 正文:
{
"settings": {
"activationPolicy": "activation-policy "
}
}
如需发送您的请求,请展开以下选项之一:
curl(Linux、macOS 或 Cloud Shell)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
curl -X POST \project-id /instances/instance-id /restart
PowerShell (Windows)
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
$cred = gcloud auth print-access-tokenproject-id /instances/instance-id /restart" | Select-Object -Expand Content
您应会收到如下所示的 JSON 响应:
{
"kind": "sql#operation",
"targetLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /instances/instance-id ",
"status": "PENDING",
"user": "user@example.com",
"insertTime": "2020-01-20T21:30:35.667Z",
"operationType": "RESTART",
"name": "operation-id ",
"targetId": "instance-id ",
"selfLink": "https://www.googleapis.com/sql/v1beta4/projects/project-id /operations/operation-id ",
"targetProject": "project-id "
}
此时,您会获得如下结果:
另存为 server-ca.pem 的服务器证书。
另存为 client-cert.pem 的客户端公钥证书。
另存为 client-key.pem 的客户端私钥。
根据您在建立连接时所使用工具的不同,这三个项目的指定方式也会有所不同。例如,使用 MySQL 客户端建立连接时,这三个文件分别是 --ssl-ca、--ssl-cert 和 --ssl-key 命令选项的值。如需查看使用 MySQL 客户端和 SSL/TLS 的连接示例,请参阅使用 MySQL 客户端建立连接 。
后续步骤
