Gérer des certificats SSL/TLS

Cette page explique comment gérer les certificats CA de vos clients et serveurs.

Gérer les certificats client

Utilisez les procédures suivantes pour gérer les certificats client dans Cloud SQL.

Récupérer un certificat client

Vous pouvez récupérer la partie clé publique d'un certificat client. En revanche, il est impossible de récupérer la clé privée. Si vous perdez votre clé privée, vous devrez créer un nouveau certificat client.

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Dans le champ Gérer les certificats client, cliquez sur le nom d'un certificat.
  6. La page Certificat client SSL s'ouvre et affiche le certificat client (client-cert.pem) avec un lien pour le télécharger.

gcloud

Récupérez la clé publique d'un certificat client à l'aide de la commande ssl client-certs describe :

gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

REST v1

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez récupérer :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez récupérer. N'incluez pas les guillemets.

  2. Récupérez le certificat en procédant comme suit :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  3. Copiez toutes les données de certificat contenues entre guillemets dans un fichier, par exemple client-cert.pem. Ne copiez pas les guillemets eux-mêmes.

REST v1beta4

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez récupérer :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez récupérer. N'incluez pas les guillemets.

  2. Récupérez le certificat en procédant comme suit :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  3. Copiez toutes les données de certificat contenues entre guillemets dans un fichier, par exemple client-cert.pem. Ne copiez pas les guillemets eux-mêmes.

Supprimer un certificat client

Lorsque vous supprimez un certificat client, le serveur de base de données est mis à jour et n'a pas besoin d'être redémarré.

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Dans Gérer les certificats client, recherchez le certificat que vous souhaitez supprimer et cliquez sur Supprimer..
  6. Dans le volet Supprimer le certificat client, cliquez sur OK.

gcloud

Supprimez le certificat client à l'aide de la commande ssl client-certs delete :

gcloud sql ssl client-certs delete CERT_NAME \
--instance=INSTANCE_NAME

REST v1

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez supprimer :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez supprimer. N'incluez pas les guillemets.

  2. Supprimez le certificat comme suit :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    DELETE https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez supprimer :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez supprimer. N'incluez pas les guillemets.

  2. Supprimez le certificat comme suit :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Gérer les certificats CA de serveur (CA par instance)

Cette section explique comment gérer les certificats de l'autorité de certification du serveur créés en interne par Cloud SQL. Il s'agit du mode de certification de serveur par défaut dans Cloud SQL. Dans cette hiérarchie d'autorités de certification, Cloud SQL crée une autorité de certification de serveur pour chaque instance.

Effectuer une rotation des certificats CA de serveur

Si vous avez reçu une notification d'expiration de vos certificats ou si vous souhaitez initier une rotation, procédez comme suit pour effectuer la rotation. Avant de commencer la rotation, vous devez disposer d'une nouvelle autorité de certification de serveur sur l'instance. Si une nouvelle autorité de certification de serveur a déjà été créée, vous pouvez ignorer la première étape de la procédure suivante.

  1. Créez une autorité de certification de serveur.
  2. Téléchargez les informations du nouveau certificat CA du serveur :
  3. Mettez à jour vos clients afin qu'ils utilisent les informations du nouveau certificat CA de serveur.
  4. Effectuez la rotation, qui place le certificat actuel dans l'emplacement "précédent" et active le certificat qui vient d'être ajouté.

Console

Téléchargez les informations du nouveau certificat CA de serveur :

  1. Dans Google Cloud Console, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Cliquez pour développer Gérer les certificats.
  6. Sélectionnez Effectuer une rotation de certificat CA.

    Si aucun certificat n'est éligible, l'option de rotation n'est pas disponible.

  7. Cliquez sur Télécharger les certificats.

Les informations de certificat CA de serveur, encodées sous forme de fichier PEM, sont téléchargées dans votre environnement local :

  • Mettez à jour l'ensemble de vos clients MySQL pour qu'ils utilisent les nouvelles informations. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer le fichier server-ca.pem existant.

Après avoir mis à jour les clients, procédez à la rotation :

  1. Revenez à l'onglet Sécurité.
  2. Cliquez pour développer Gérer les certificats.
  3. Sélectionnez Effectuer une rotation de certificat CA.
  4. Assurez-vous que les clients se connectent correctement.

    Si certains clients ne parviennent pas à se connecter à l'aide du nouveau certificat, vous pouvez sélectionner Rollback du certificat CA pour effectuer un rollback vers la configuration précédente.

gcloud

  1. Créez un certificat CA de serveur :
    gcloud beta sql ssl server-ca-certs create \
    --instance=INSTANCE
  2. Téléchargez les informations de certificat sous la forme d'un fichier PEM local :
    gcloud sql ssl server-ca-certs list \
    --format="value(cert)" \
    --instance=INSTANCE_NAME > \
    FILE_PATH/FILE_NAME.pem
  3. Mettez à jour l'ensemble de vos clients pour qu'ils utilisent les nouvelles informations. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer le fichier server-ca.pem existant.
  4. Après avoir mis à jour les clients, procédez à la rotation :
    gcloud sql ssl server-ca-certs rotate \
    --instance=INSTANCE_NAME
          
  5. Assurez-vous que les clients se connectent correctement.

    Si certains clients ne parviennent pas à se connecter à l'aide du nouveau certificat, effectuez un rollback pour rétablir la configuration précédente.

REST v1

  1. Téléchargez les certificats CA du serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Téléchargez les certificats CA du serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Effectuer un rollback pour annuler une opération de rotation de certificats

Après avoir accompli une rotation, tous les clients doivent utiliser le nouveau certificat pour se connecter à l'instance Cloud SQL. S'ils ne sont pas mis à jour correctement pour utiliser les informations du nouveau certificat, ils ne peuvent pas se connecter à l'instance à l'aide de SSL/TLS. Dans ce cas, vous pouvez revenir à la configuration de certificat précédente.

L'opération de restauration consiste à placer le certificat actif dans l'emplacement "à venir" (remplaçant tout certificat "à venir"). Le certificat "précédent" redevient le certificat actif, ramenant votre configuration à son état d'origine.

Pour revenir à la configuration de certificat précédente :

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Cliquez pour développer Gérer les certificats.
  6. Sélectionnez Effectuer un rollback de certificat CA.

    Si aucun certificat n'est éligible, l'option de rollback n'est pas disponible. Sinon, l'action de rollback se termine après quelques secondes.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME
   

REST v1

  1. Téléchargez les certificats CA du serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Copiez le champ sha1Fingerprint correspondant à la version à restaurer.

    Recherchez la version ayant une valeur createTime immédiatement antérieure à la version dont la valeur sha1Fingerprint est activeVersion.

  3. Effectuez la restauration avant la rotation :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Corps JSON de la requête :

    {
      "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Téléchargez les certificats CA du serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Copiez le champ sha1Fingerprint correspondant à la version à restaurer.

    Recherchez la version ayant une valeur createTime immédiatement antérieure à la version dont la valeur sha1Fingerprint est activeVersion.

  3. Effectuez la restauration avant la rotation :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Corps JSON de la requête :

    {
      "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Lancer une rotation

Vous n'avez pas besoin d'attendre l'e-mail de Cloud SQL pour démarrer une rotation. Vous pouvez en initier une à tout moment. Dès lors que vous démarrez une rotation, un nouveau certificat est créé et placé dans l'emplacement "à venir". Si un certificat est déjà présent dans l'emplacement suivant au moment de votre demande, ce certificat est supprimé. Il ne peut y avoir qu'un seul certificat à venir.

Pour démarrer une rotation :

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Cliquez sur Créer un certificat CA.
  6. Cliquez pour développer Gérer les certificats.
  7. Sélectionnez Effectuer une rotation de certificat CA.

    Si aucun certificat n'est éligible, l'option de rotation n'est pas disponible.

  8. Procédez à la rotation comme décrit dans la section Effectuer une rotation des certificats CA de serveur.

gcloud

  1. Démarrez la rotation :
    gcloud sql ssl server-ca-certs create \
    --instance=INSTANCE_NAME
         
  2. Procédez à la rotation comme décrit dans la section Effectuer une rotation des certificats CA de serveur.

REST v1

  1. Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation comme décrit dans la section Effectuer une rotation des certificats CA de serveur.

REST v1beta4

  1. Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation comme décrit dans la section Effectuer une rotation des certificats CA de serveur.

Obtenir des informations sur un certificat CA de serveur

Vous pouvez obtenir des informations sur votre certificat CA de serveur, par exemple sa date d'expiration ou son niveau de chiffrement.

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.

    Dans le champ Gérer les certificats CA de serveur, vous pouvez voir la date d'expiration de votre certificat CA de serveur dans le tableau.

    Pour afficher le type de certificat, utilisez la commande gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

Lorsque vous décrivez votre instance, vous pouvez afficher des informations sur le certificat CA du serveur :

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • project-id : ID du projet
  • instance-id : ID de l'instance.

Méthode HTTP et URL :

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

Lorsque vous décrivez votre instance, vous pouvez afficher des informations sur le certificat CA du serveur :

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • project-id : ID du projet
  • instance-id : ID de l'instance.

Méthode HTTP et URL :

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

Afficher le contenu des certificats CA

Vous pouvez utiliser openssl storeutl pour afficher le contenu des certificats d'autorité de certification.

Lorsque vous exécutez la commande beta sql ssl server-ca-certs list, vous pouvez obtenir plusieurs certificats d'autorité de certification à partir d'opérations de rotation précédentes.

gcloud

  1. Exécutez la commande suivante :
    gcloud beta sql ssl server-ca-certs list \
      --instance=INSTANCE_NAME \
      --format='value(cert)' > temp_cert.pem

    Remplacez INSTANCE_NAME par le nom de l'instance.

  2. Utilisez openssl pour examiner le contenu des certificats d'autorité de certification.
  3. openssl storeutl -noout -text temp_cert.pem
       

Afficher le contenu d'un certificat de serveur

Vous pouvez utiliser openssl s_client pour afficher le contenu des certificats de serveur.

gcloud

Pour afficher le contenu du certificat du serveur, exécutez la commande suivante:

openssl s_client -starttls mysql -connect INSTANCE_IP_ADDRESS:3306

Remplacez INSTANCE_IP_ADDRESS par l'adresse IP de l'instance.

Gérer les certificats de serveur (autorité de certification partagée)

Cette section explique comment gérer les certificats de serveur sur les instances qui utilisent des autorités de certification partagées. Vous pouvez activer l'utilisation d'autorités de certification partagées en tant que mode d'autorité de certification de serveur pour votre instance en spécifiant GOOGLE_MANAGED_CAS_CA pour le paramètre serverCaMode (API Cloud SQL Admin) ou l'option --server-ca-mode (gcloud CLI) lorsque vous créez votre instance.

Effectuer une rotation des certificats de serveur

Si vous avez reçu une notification d'expiration de vos certificats ou si vous souhaitez en lancer une, suivez les étapes ci-dessous pour effectuer la rotation. Avant de commencer la rotation, un nouveau certificat de serveur doit être créé pour la prochaine rotation. Si un nouveau certificat de serveur a déjà été créé pour la prochaine rotation, vous pouvez ignorer la première étape de la procédure suivante.

Pour effectuer une rotation du certificat de serveur sur votre instance, procédez comme suit:

  1. Si vous avez besoin d'un nouveau certificat de serveur, créez-en un.

  2. Si vos clients font déjà confiance à l'autorité de certification racine, cette étape est facultative. Toutefois, si vous devez mettre à jour vos clients avec les informations de l'autorité de certification du serveur, procédez comme suit:

    1. Téléchargez les dernières informations sur la CA de serveur.
    2. Mettez à jour vos clients afin qu'ils utilisent les dernières informations sur la CA de serveur.
  3. Effectuez la rotation en déplaçant le certificat actif vers l'emplacement précédent et en activant le nouveau certificat.

Console

Vous ne pouvez pas utiliser la console Google Cloud pour faire pivoter les certificats de serveur sur les instances qui utilisent le service CA pendant la version preview. Utilisez plutôt la commande gcloud beta sql ssl server-certs rotate ou les commandes de l'API Cloud SQL Admin.

gcloud

  1. Pour créer un certificat de serveur, exécutez la commande suivante:
    gcloud beta sql ssl server-certs create \
    --instance=INSTANCE
  2. Remplacez INSTANCE par le nom de l'instance.
  3. Assurez-vous d'utiliser le dernier groupe d'autorités de certification. Si vous n'utilisez pas le dernier bundle de CA, exécutez la commande suivante pour télécharger les dernières informations de l'autorité de certification de serveur pour l'instance dans un fichier PEM local:
    gcloud beta sql ssl server-certs list \
    --format="value(ca_cert.cert)" \
    --instance=INSTANCE_NAME > \
    FILE_PATH/server-ca.pem

    Vous pouvez également télécharger les bundles de certificats d'autorité de certification à partir du tableau des bundles de certificats d'autorité de certification racine et régionale sur cette page.

    Mettez ensuite à jour l'ensemble de vos clients pour qu'ils utilisent les nouvelles informations de l'autorité de certification de serveur en copiant le fichier téléchargé sur vos machines hôtes clientes, en remplaçant les fichiers server-ca.pem existants.

  4. Une fois que vous avez mis à jour tous vos clients (si des mises à jour sont nécessaires), effectuez la rotation:
    gcloud beta sql ssl server-certs rotate \
    --instance=INSTANCE_NAME
          
  5. Assurez-vous que les clients se connectent correctement.

    Si certains clients ne parviennent pas à se connecter à l'aide du nouveau certificat de serveur, effectuez un rollback pour rétablir la configuration précédente.

REST v1

  1. Créez un certificat de serveur.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Si vous devez télécharger les informations du certificat de l'autorité de certification du serveur, vous pouvez utiliser la commande suivante.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  3. Terminez la rotation.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Créez un certificat de serveur.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Si vous devez télécharger les informations du certificat de l'autorité de certification du serveur, vous pouvez utiliser la commande suivante.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  3. Terminez la rotation.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Annuler une rotation de certificats

Une fois la rotation du certificat du serveur terminée, tous vos clients doivent utiliser le nouveau certificat pour se connecter à votre instance Cloud SQL. S'ils ne sont pas mis à jour correctement pour utiliser les informations du nouveau certificat, ils ne peuvent pas se connecter à l'instance à l'aide de SSL/TLS. Dans ce cas, vous pouvez revenir à la configuration de certificat précédente.

L'opération de rollback consiste à placer le certificat actif dans l'emplacement "à venir", qui remplace tout certificat "à venir". Le certificat "précédent" redevient le certificat actif, ramenant votre configuration à son état d'origine.

Console

Vous ne pouvez pas utiliser la console Google Cloud pour annuler les certificats de serveur sur les instances qui utilisent le service CA pendant la version preview. Utilisez plutôt la commande gcloud beta sql ssl server-certs rollback ou les commandes de l'API Cloud SQL Admin.

gcloud

gcloud beta sql ssl server-certs rollback \
--instance=INSTANCE_NAME
   

REST v1

  1. Répertoriez vos certificats de serveur.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Copiez le champ sha1Fingerprint correspondant à la version à restaurer.

    Recherchez la version ayant une valeur createTime immédiatement antérieure à la version dont la valeur sha1Fingerprint est activeVersion.

  3. Effectuez la restauration avant la rotation.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corps JSON de la requête :

    {
      "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Répertoriez vos certificats de serveur.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Copiez le champ sha1Fingerprint correspondant à la version à restaurer.

    Recherchez la version ayant une valeur createTime immédiatement antérieure à la version dont la valeur sha1Fingerprint est activeVersion.

  3. Effectuez la restauration avant la rotation.

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet
    • INSTANCE_ID : ID de l'instance

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corps JSON de la requête :

    {
      "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Afficher le contenu des certificats CA

Vous pouvez utiliser l'utilitaire openssl storeutl pour afficher le contenu des certificats d'autorité de certification.

Lorsque vous exécutez la commande beta sql ssl server-certs list, vous obtenez toujours plusieurs certificats CA en raison de la chaîne de confiance. Vous pouvez également obtenir plusieurs certificats d'autorité de certification à partir d'opérations de rotation précédentes.

gcloud

  1. Exécutez la commande suivante :
    gcloud beta sql ssl server-certs list \
      --instance=INSTANCE_NAME \
      --format='value(cert)' > temp_cert.pem

    Remplacez INSTANCE_NAME par le nom de l'instance.

  2. Utilisez openssl pour examiner le contenu des certificats d'autorité de certification.
  3. openssl storeutl -noout -text temp_cert.pem
       

Afficher le contenu d'un certificat de serveur

Vous pouvez utiliser les utilitaires openssl et la commande sql ssl server-certs list (version bêta) pour afficher le contenu d'un certificat de serveur.

Lorsque vous exécutez la commande gcloud CLI, vous obtenez toujours plusieurs certificats CA en raison de la chaîne de confiance. Vous pouvez également obtenir plusieurs certificats d'autorité de certification à partir d'opérations de rotation précédentes.

gcloud

Utiliser openssl s_client uniquement:

openssl s_client -starttls mysql -connect INSTANCE_IP_ADDRESS:3306

Remplacez INSTANCE_IP_ADDRESS par l'adresse IP de l'instance.

À l'aide de gcloud CLI et openssl storeutl:

  1. Exécutez la commande suivante :
    gcloud beta sql ssl server-certs list \
      --instance=INSTANCE_NAME \
      --format='value(ssl_cert.cert)' > temp_cert.pem

    Remplacez INSTANCE_NAME par le nom de l'instance.

  2. Utilisez openssl pour examiner le contenu des certificats de serveur.
  3. openssl storeutl -noout -text temp_cert.pem
       

Télécharger des groupes de certificats d'autorités de certification racine et régionales

Vous pouvez télécharger les bundles de certificats d'autorité de certification racine et régionale à partir du tableau suivant.

Nom de la région Emplacement Bundle de certificats
Monde
Autorité de certification pour toutes les régions Tous les emplacements global.pem
Asie
asia-east1 Taïwan asia-east1.pem
asia-east2 Hong Kong asia-east2.pem
asia-northeast1 Tokyo asia-northeast1.pem
asia-northeast2 Osaka asia-northeast2.pem
asia-northeast3 Séoul asia-northeast3.pem
asia-south1 Mumbai asia-south1.pem
asia-south2 Delhi asia-south2.pem
asia-southeast1 Singapour asia-southeast1.pem
asia-southeast2 Jakarta asia-southeast2.pem
Afrique
africa-south1 Johannesburg africa-south1.pem
Australie
australia-southeast1 Sydney australia-southeast1.pem
australia-southeast2 Melbourne australia-southeast2.pem
Europe
europe-central2 Varsovie europe-central2.pem
europe-north1 Finlande europe-north1.pem
europe-southwest1 Madrid europe-southwest1.pem
europe-west1 Belgique europe-west1.pem
europe-west2 Londres europe-west2.pem
europe-west3 Francfort europe-west3.pem
europe-west4 Pays-Bas europe-west4.pem
europe-west6 Zurich europe-west6.pem
europe-west8 Milan europe-west8.pem
europe-west9 Paris europe-west9.pem
europe-west10 Berlin europe-west10.pem
europe-west12 Turin europe-west12.pem
Moyen-Orient
me-central1 Doha me-central1.pem
me-central2 Dammam me-central2.pem
me-west1 Tel-Aviv me-west1.pem
Amérique du Nord
northamerica-northeast1 Montréal northamerica-northeast1.pem
northamerica-northeast2 Toronto northamerica-northeast2.pem
northamerica-south1 Mexique northamerica-south1.pem
us-central1 Iowa us-central1.pem
us-east1 Caroline du Sud us-east1.pem
us-east4 Virginie du Nord us-east4.pem
us-east5 Columbus us-east5.pem
us-south1 Dallas us-south1.pem
us-west1 Oregon us-west1.pem
us-west2 Los Angeles us-west2.pem
us-west3 Salt Lake City us-west3.pem
us-west4 Las Vegas us-west4.pem
Amérique du Sud
southamerica-east1 São Paulo southamerica-east1.pem
southamerica-west1 Santiago southamerica-west1.pem

Réinitialiser la configuration SSL/TLS

Vous pouvez réinitialiser complètement votre configuration SSL/TLS.

Console

  1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Accédez à la section Réinitialiser la configuration SSL.
  5. Cliquez sur Réinitialiser la configuration SSL.

gcloud

  1. Actualisez le certificat :

    gcloud sql instances reset-ssl-config INSTANCE_NAME
  2. gcloud sql instances restart INSTANCE_NAME
  3. Créez de nouveaux certificats clients.

REST v1beta4

  1. Actualisez le certificat :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Créez de nouveaux certificats clients.

Étape suivante