Faça a gestão de certificados SSL/TLS

Esta página descreve como gerir os certificados da autoridade de certificação (AC) do cliente e do servidor.

Faça a gestão de certificados de cliente

Use os procedimentos seguintes para gerir certificados de cliente no Cloud SQL.

Obtenha um certificado de cliente

Pode obter a parte da chave pública de um certificado de cliente. No entanto, não pode obter a chave privada. Se perdeu a sua chave privada, tem de criar um novo certificado.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Em Gerir certificados de cliente, clique no nome de um certificado.
  6. A página Certificado de cliente SSL é aberta e mostra o certificado de cliente (client-cert.pem) com um link para transferir o certificado.

gcloud

Obtenha a chave pública do certificado de cliente com o comando ssl client-certs describe:

gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

REST v1

  1. Liste os certificados na instância para obter a impressão digital do certificado que quer obter:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    Registe o campo sha1Fingerprint para o certificado que quer recuperar. Não inclua as aspas.

  2. Recupere o certificado:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância
    • sha1FingerPrint: O sha1FingerPrint do certificado

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  3. Copie todos os dados do certificado contidos entre aspas para um ficheiro, por exemplo, client-cert.pem. Não copie as próprias aspas.

REST v1beta4

  1. Liste os certificados na instância para obter a impressão digital do certificado que quer obter:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    Registe o campo sha1Fingerprint para o certificado que quer recuperar. Não inclua as aspas.

  2. Recupere o certificado:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância
    • sha1FingerPrint: O sha1FingerPrint do certificado

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  3. Copie todos os dados do certificado contidos entre aspas para um ficheiro, por exemplo, client-cert.pem. Não copie as próprias aspas.

Elimine um certificado de cliente

Quando elimina um certificado de cliente, o servidor de base de dados é atualizado e não precisa de ser reiniciado.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Em Gerir certificados de cliente, encontre o certificado que quer eliminar e clique em Eliminar..
  6. No painel Eliminar certificado de cliente, clique em OK.

gcloud

Elimine o certificado de cliente através do comando ssl client-certs delete:

gcloud sql ssl client-certs delete CERT_NAME \
--instance=INSTANCE_NAME

REST v1

  1. Liste os certificados na instância para obter a impressão digital do certificado que quer eliminar:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    Registe o campo sha1Fingerprint para o certificado que quer eliminar. Não inclua as aspas.

  2. Elimine o certificado:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância
    • sha1FingerPrint: O sha1FingerPrint do certificado

    Método HTTP e URL: 

    DELETE https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

  1. Liste os certificados na instância para obter a impressão digital do certificado que quer eliminar:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    Registe o campo sha1Fingerprint para o certificado que quer eliminar. Não inclua as aspas.

  2. Elimine o certificado:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância
    • sha1FingerPrint: O sha1FingerPrint do certificado

    Método HTTP e URL: 

    DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

Faça a gestão de certificados da AC do servidor (AC por instância)

Esta secção descreve como gerir certificados da CA do servidor criados internamente pelo Cloud SQL. Este é o modo de CA do servidor predefinido no Cloud SQL. Nesta hierarquia de autoridades de certificação, o Cloud SQL cria uma AC do servidor para cada instância.

Rode os certificados da AC do servidor

Se recebeu um aviso sobre a expiração dos seus certificados ou quiser iniciar uma rotação, siga estes passos para concluir a rotação. Antes de iniciar a rotação, tem de ter uma nova AC do servidor na instância. Se já tiver sido criado um novo AC do servidor, pode ignorar o primeiro passo no procedimento seguinte.

  1. Crie uma nova AC do servidor.
  2. Transfira as novas informações do certificado da CA do servidor.
  3. Atualize os seus clientes para usarem as novas informações do certificado da CA do servidor.
  4. Conclua a rotação, que move o certificado ativo para o espaço "anterior" e atualiza o certificado adicionado recentemente para ser o certificado ativo.

Consola

Transfira o novo certificado da CA do servidor, codificado como um ficheiro PEM, para o seu ambiente local:

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Clique para expandir Gerir certificados.
  6. Selecione Rodar certificado da CA.

    Se não existirem certificados elegíveis, a opção de rotação não está disponível. Tem de criar um novo certificado da CA do servidor.

  7. Clique em Transferir certificados.

Atualize todos os seus clientes MySQL para usarem as novas informações copiando o ficheiro transferido para os computadores anfitriões dos clientes, substituindo o ficheiro server-ca.pem existente.

Depois de atualizar os clientes, conclua a rotação:

  1. Regresse ao separador Segurança.
  2. Clique para expandir Gerir certificados.
  3. Selecione Rodar certificado da CA.
  4. Confirme se os seus clientes estão a estabelecer ligação corretamente.

    5. Se algum cliente não estiver a estabelecer ligação através do certificado recém-rodado, pode selecionar Reverter certificado de AC para reverter para a configuração anterior.

gcloud

  1. Crie um certificado da CA do servidor: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE
  2. Transfira as informações do certificado para um ficheiro PEM local: 
    gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  3. Atualize todos os seus clientes para usarem as novas informações: copie o ficheiro transferido para os computadores anfitriões dos clientes e substitua os ficheiros server-ca.pem existentes.
  4. Depois de atualizar os clientes, conclua a rotação: 
    gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME
  5. Confirme se os seus clientes estão a estabelecer ligação corretamente.

    6. Se algum cliente não estiver a estabelecer ligação através do certificado recém-rodado, pode reverter para a configuração anterior.

REST v1

  1. Transfira os certificados da AC do servidor:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Conclua a rotação:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

  1. Transfira os certificados da AC do servidor:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Conclua a rotação:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

Se receber um erro quando tentar rodar um certificado que diga No upcoming/previous Server CA Certificate exists, verifique se está a executar o comando numa instância que usa a hierarquia de AC por instância. Pode ver que hierarquia de AC está configurada para uma instância do Cloud SQL através do comando gcloud sql instances describe. Para mais informações, consulte o artigo Veja informações da instância.

Reverta uma operação de rotação de certificados

Depois de concluir uma rotação de certificados, todos os seus clientes têm de usar o novo certificado para estabelecer ligação à sua instância do Cloud SQL. Se os clientes não forem atualizados corretamente para usar as novas informações do certificado, não podem estabelecer ligação à sua instância através de SSL/TLS. Se isto acontecer, pode reverter para a configuração do certificado anterior.

Uma operação de reversão move o certificado ativo para o espaço "próximo" (substituindo qualquer certificado "próximo"). O certificado "anterior" torna-se o certificado ativo, o que repõe a configuração do certificado para o estado em que se encontrava antes de concluir a rotação.

Para reverter para a configuração do certificado anterior:

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Clique para expandir Gerir certificados.
  6. Selecione Reverter certificado da CA.

    Se não existirem certificados elegíveis, a opção de reversão não está disponível. Caso contrário, a ação de reversão fica concluída após alguns segundos.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Transfira os certificados da AC do servidor:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Copie o campo sha1Fingerprint para a versão para a qual quer reverter.

    Procure a versão com um valor createTime imediatamente anterior à versão com o valor sha1Fingerprint apresentado como activeVersion.

  3. Reverta a rotação:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Corpo JSON do pedido: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

  1. Transfira os certificados da AC do servidor:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Copie o campo sha1Fingerprint para a versão para a qual quer reverter.

    Procure a versão com um valor createTime imediatamente anterior à versão com o valor sha1Fingerprint apresentado como activeVersion.

  3. Reverta a rotação:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Corpo JSON do pedido: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

Se receber um erro quando tentar reverter uma rotação da AC de um certificado que indique No upcoming/previous Server CA Certificate exists, verifique se está a executar o comando numa instância que usa a hierarquia da AC por instância. Pode ver que hierarquia de AC está configurada para uma instância do Cloud SQL através do comando gcloud sql instances describe. Para mais informações, consulte o artigo Veja informações da instância.

Inicie uma rotação

Não tem de esperar pelo email do Cloud SQL para iniciar uma rotação. Pode iniciar uma em qualquer altura. Quando inicia uma rotação, é criado um novo certificado e colocado no espaço "próximo". Se já existir um certificado no espaço "próximo" no momento do seu pedido, esse certificado é eliminado. Só pode existir um certificado futuro.

Para iniciar uma rotação:

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Clique para expandir Gerir certificados.
  6. Clique em Criar novo certificado de AC.
  7. Selecione Rodar certificado da CA.

    Se não existirem certificados elegíveis, a opção de rotação não está disponível.

  8. Conclua a rotação conforme descrito no artigo Rote os certificados da CA do servidor.

gcloud

  1. Inicie a rotação: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  2. Conclua a rotação conforme descrito no artigo Rote os certificados da CA do servidor.

REST v1

  1. Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Conclua a rotação conforme descrito no artigo Rote os certificados da CA do servidor.

REST v1beta4

  1. Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Conclua a rotação conforme descrito no artigo Rote os certificados da CA do servidor.

Receba informações sobre um certificado da AC do servidor

Pode obter informações sobre o certificado da AC do seu servidor, como a data de validade ou o nível de encriptação que oferece.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.

    Em Gerir certificados da AC do servidor, pode ver a data de validade do certificado da AC do servidor na tabela.

    Para ver o tipo de certificado, use o comando gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

Quando descreve a sua instância, pode ver detalhes sobre o certificado da CA do servidor:

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • project-id: o ID do projeto
  • instance-id: o ID da instância

Método HTTP e URL: 

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

Quando descreve a sua instância, pode ver detalhes sobre o certificado da CA do servidor:

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • project-id: o ID do projeto
  • instance-id: o ID da instância

Método HTTP e URL: 

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:

Veja o conteúdo dos certificados da AC

Pode usar openssl storeutl para ver o conteúdo dos certificados da AC.

Quando executa o comando sql ssl server-ca-certs list, pode receber vários certificados de AC de operações relacionadas com a rotação anteriores.

gcloud

  1. Execute o seguinte comando: 
    gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Substitua INSTANCE_NAME pelo nome da instância.

  2. Use openssl para examinar o conteúdo dos certificados da AC.
    3. openssl storeutl -noout -text temp_cert.pem

Veja o conteúdo de um certificado do servidor

Pode usar openssl s_client para ver o conteúdo dos certificados de servidor.

gcloud

Para ver o conteúdo do certificado do servidor, execute o seguinte comando:

openssl s_client -starttls mysql -connect INSTANCE_IP_ADDRESS:3306

Substitua INSTANCE_IP_ADDRESS pelo endereço IP da instância.

Notificação de expiração do SSL do servidor externo

  • Se o certificado da AC do servidor externo estiver a expirar, rode os certificados SSL, incluindo o certificado da AC do servidor na instância no local. Este passo depende da forma como a instância no local é gerida. Os passos podem variar se, por exemplo, estiver a usar um certificado da AC do servidor RDS, um certificado da AC do servidor Cloud SQL ou um certificado da AC do servidor genérico da base de dados.
  • Se o certificado de cliente estiver a expirar, tem de gerar um novo certificado e chave. Isto aplica-se a certificados SSL geridos pela Google e certificados autoassinados. Google Cloud
  • Atualize a instância de representação da origem do Cloud SQL com os novos certificados SSL.

Faça a gestão de certificados de servidor (AC partilhada)

Esta secção descreve como gerir certificados de servidor em instâncias que usam ACs partilhadas ou ACs geridas pelo cliente.

Pode optar por usar ACs partilhadas como o modo de AC do servidor para a sua instância especificando GOOGLE_MANAGED_CAS_CA na definição serverCaMode (API Cloud SQL Admin) ou na flag --server-ca-mode (CLI gcloud) quando criar a sua instância.

Para usar a AC gerida pelo cliente como o modo de AC do servidor para a sua instância, tem de especificar CUSTOMER_MANAGED_CAS_CA para a definição serverCaMode (API Cloud SQL Admin) ou a flag --server-ca-mode (gcloud CLI) quando criar a sua instância e tem de ter um conjunto de AC e uma AC válidos. Para mais informações, consulte o artigo Use uma AC gerida pelo cliente.

Rode os certificados do servidor

Se recebeu um aviso sobre a expiração dos certificados do servidor ou quiser iniciar uma rotação, siga estes passos para concluir a rotação. Antes de iniciar a rotação, tem de ser criado um novo certificado do servidor para a rotação futura. Se já existir um novo certificado do servidor criado para a rotação futura, pode ignorar o primeiro passo no procedimento seguinte.

Para rodar o certificado do servidor na sua instância, siga estes passos:

  1. Se precisar de um novo certificado de servidor, crie um.

  2. Se os seus clientes já confiarem na AC raiz, este passo é opcional. No entanto, se precisar de atualizar os seus clientes com informações da AC do servidor, faça o seguinte:

    1. Transfira as informações da AC do servidor mais recentes.
    2. Atualize os seus clientes para usarem as informações da AC do servidor mais recentes.

  3. Conclua a rotação movendo o certificado ativo para a posição anterior e atualizando o novo certificado para que seja o certificado ativo.

Consola

Transfira as informações do certificado da CA do servidor, codificadas como um ficheiro PEM, para o seu ambiente local:

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Clique para expandir Gerir certificados.
  6. Confirme que a opção Rodar certificado do servidor aparece como uma opção disponível. No entanto, não a selecione ainda.

    Se não existirem certificados elegíveis, a opção de rotação não está disponível. Tem de criar um novo certificado do servidor.

  7. Clique em Transferir certificados.

Atualize todos os seus clientes MySQL para usarem as novas informações copiando o ficheiro transferido para os computadores anfitriões dos clientes, substituindo o ficheiro server-ca.pem existente.

Depois de atualizar os clientes, conclua a rotação:

  1. Regresse ao separador Segurança.
  2. Clique para expandir Gerir certificados.
  3. Selecione Rodar certificado.
  4. Na caixa de diálogo Confirmar rotação do certificado, clique em Rodar.

  5. Confirme se os seus clientes estão a estabelecer ligação corretamente.

    Se algum cliente não estiver a estabelecer ligação através do certificado recém-rodado, pode selecionar Reverter certificado para reverter para a configuração anterior.

gcloud

  1. Para criar um certificado de servidor, use o seguinte comando: 
    gcloud sql ssl server-certs create \
--instance=INSTANCE
    2. Substitua INSTANCE pelo nome da instância.
  2. Certifique-se de que está a usar o conjunto de ACs mais recente. Se não estiver a usar o pacote de AC mais recente, execute o comando seguinte para transferir as informações de AC do servidor mais recentes para a instância num ficheiro PEM local: 
    gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem

    Em alternativa, transfira os conjuntos de AC a partir da tabela do conjunto de certificados da AC de raiz e regional nesta página.

    Em seguida, atualize todos os seus clientes para usarem as novas informações da AC do servidor: copie o ficheiro transferido para os computadores anfitriões dos clientes, substituindo os ficheiros server-ca.pem existentes.

  3. Depois de atualizar todos os clientes (se forem necessárias atualizações de clientes), conclua a rotação: 
    gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME

  4. Confirme se os seus clientes estão a estabelecer ligação corretamente.

    Se algum cliente não estiver a estabelecer ligação através do certificado do servidor recém-rodado, reverta para a configuração anterior.

REST v1

  1. Crie um certificado de servidor.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Se precisar de transferir informações do certificado da AC do servidor, pode usar o seguinte comando.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  3. Conclua a rotação.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

  1. Crie um certificado de servidor.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Se precisar de transferir informações do certificado da AC do servidor, pode usar o seguinte comando.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  3. Conclua a rotação.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

Reverta uma rotação de certificados

Depois de concluir uma rotação do certificado do servidor, todos os seus clientes têm de usar o novo certificado para se ligarem à sua instância do Cloud SQL. Se os clientes não forem atualizados corretamente para usar as novas informações do certificado, não podem estabelecer ligação à sua instância através de SSL/TLS. Se isto acontecer, pode reverter para a configuração de certificado anterior.

Uma operação de reversão move o certificado ativo para o espaço "próximo", o que substitui qualquer certificado "próximo". O certificado "anterior" torna-se o certificado ativo e devolve a configuração do certificado ao estado anterior antes de concluir a rotação.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Selecione o separador Segurança.
  5. Clique para expandir Gerir certificados.
  6. Selecione Reverter certificado do servidor.

    Se não existirem certificados elegíveis, a opção de reversão não está disponível.

  7. Na caixa de diálogo Confirmar reversão do certificado, selecione Reverter.

    A reversão pode demorar alguns segundos a ser concluída.

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Liste os certificados do servidor.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Copie o campo sha1Fingerprint para a versão para a qual quer reverter.

    Procure a versão com um valor createTime imediatamente anterior à versão com o valor sha1Fingerprint apresentado como activeVersion.

  3. Reverter a rotação.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corpo JSON do pedido: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

REST v1beta4

  1. Liste os certificados do servidor.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Copie o campo sha1Fingerprint para a versão para a qual quer reverter.

    Procure a versão com um valor createTime imediatamente anterior à versão com o valor sha1Fingerprint apresentado como activeVersion.

  3. Reverter a rotação.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do projeto
    • INSTANCE_ID: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corpo JSON do pedido: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

Veja o conteúdo dos certificados da AC

Pode usar o utilitário openssl storeutl para ver o conteúdo dos certificados da AC.

Quando executa o comando sql ssl server-certs list, recebe sempre vários certificados da AC devido à cadeia de confiança. Também pode receber vários certificados de AC de operações relacionadas com a rotação anteriores.

gcloud

  1. Execute o seguinte comando: 
    gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Substitua INSTANCE_NAME pelo nome da instância.

  2. Use openssl para examinar o conteúdo dos certificados da AC.
    3. openssl storeutl -noout -text temp_cert.pem

Veja o conteúdo de um certificado do servidor

Pode usar as utilidades openssl e o comando sql ssl server-certs list para ver o conteúdo de um certificado de servidor.

Quando executa o comando gcloud CLI, recebe sempre vários certificados da AC devido à cadeia de confiança. Também pode receber vários certificados da AC de operações anteriores relacionadas com a rotação.

gcloud

Usar apenas openssl s_client:

openssl s_client -starttls mysql -connect INSTANCE_IP_ADDRESS:3306

Substitua INSTANCE_IP_ADDRESS pelo endereço IP da instância.

Usar o gcloud CLI e o openssl storeutl:

  1. Execute o seguinte comando: 
    gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(ssl_cert.cert)' > temp_cert.pem

    Substitua INSTANCE_NAME pelo nome da instância.

  2. Use openssl para examinar o conteúdo dos certificados de servidor.
    3. openssl storeutl -noout -text temp_cert.pem

Descarregue pacotes de certificados de CA de raiz e regionais para uma CA partilhada

Se estiver a usar uma configuração de CA partilhada gerida pela Google, pode transferir os pacotes de certificados de CA de raiz e regionais na tabela seguinte.

Estes pacotes de certificados não se aplicam a instâncias que usam as opções de AC geridas pelo cliente ou por instância.

Nome da região Localização Pacote de certificados
Global
AC para todas as regiões Todas as localizações global.pem
Ásia
asia-east1 Taiwan asia-east1.pem
asia-east2 Hong Kong asia-east2.pem
asia-northeast1 Tóquio asia-northeast1.pem
asia-northeast2 Osaca asia-northeast2.pem
asia-northeast3 Seul asia-northeast3.pem
asia-south1 Mumbai asia-south1.pem
asia-south2 Deli asia-south2.pem
asia-southeast1 Singapura asia-southeast1.pem
asia-southeast2 Jacarta asia-southeast2.pem
África
africa-south1 Joanesburgo africa-south1.pem
Austrália
australia-southeast1 Sydney australia-southeast1.pem
australia-southeast2 Melbourne australia-southeast2.pem
Europa
europe-central2 Varsóvia europe-central2.pem
europe-north1 Finlândia europe-north1.pem
europe-north2 Estocolmo europe-north2.pem
europe-southwest1 Madrid europe-southwest1.pem
europe-west1 Bélgica europe-west1.pem
europe-west2 Londres europe-west2.pem
europe-west3 Frankfurt europe-west3.pem
europe-west4 Países Baixos europe-west4.pem
europe-west6 Zurique europe-west6.pem
europe-west8 Milão europe-west8.pem
europe-west9 Paris europe-west9.pem
europe-west10 Berlim europe-west10.pem
europe-west12 Turim europe-west12.pem
Médio Oriente
me-central1 Doha me-central1.pem
me-central2 Damã me-central2.pem
me-west1 Telavive me-west1.pem
América do Norte
northamerica-northeast1 Montréal northamerica-northeast1.pem
northamerica-northeast2 Toronto northamerica-northeast2.pem
northamerica-south1 México northamerica-south1.pem
us-central1 Iowa us-central1.pem
us-east1 Carolina do Sul us-east1.pem
us-east4 Virgínia do Norte us-east4.pem
us-east5 Columbus us-east5.pem
us-south1 Dallas us-south1.pem
us-west1 Oregon us-west1.pem
us-west2 Los Angeles us-west2.pem
us-west3 Salt Lake City us-west3.pem
us-west4 Las Vegas us-west4.pem
América do Sul
southamerica-east1 São Paulo southamerica-east1.pem
southamerica-west1 Santiago southamerica-west1.pem

Reponha a configuração SSL/TLS

Pode repor completamente a sua configuração SSL/TLS.

Consola

  1. Na Google Cloud consola, aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Para abrir a página Vista geral de uma instância, clique no nome da instância.
  3. Selecione Associações no menu de navegação do SQL.
  4. Aceda à secção Repor configuração SSL.
  5. Clique em Repor configuração SSL.

gcloud

  1. Atualize o certificado:

    gcloud sql instances reset-ssl-config INSTANCE_NAME
  2. gcloud sql instances restart INSTANCE_NAME
  3. Crie novos certificados de cliente.

REST v1beta4

  1. Atualize o certificado:

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

  2. Crie novos certificados de cliente.

O que se segue?