Gérer des certificats SSL/TLS

Cette page explique comment gérer vos certificats clients et vos certificats de serveur.

Gérer les certificats clients

Récupérer un certificat client

Vous pouvez récupérer la partie clé publique d'un certificat client. En revanche, il est impossible de récupérer la clé privée. Si vous la perdez, vous devrez créer un nouveau certificat client.

Console

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.

    Accéder à la page Instances Cloud SQL

  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de client SSL.
  5. Cliquez sur le nom du certificat. La boîte de dialogue Certificat client SSL s'ouvre et affiche le certificat client (client-cert.pem).

gcloud

Récupérez la clé publique d'un certificat client à l'aide de la commande ssl client-certs describe :

gcloud sql ssl client-certs describe [CERT_NAME] --instance=[INSTANCE_NAME] --format="value(cert)" > client-cert.pem

REST v1beta4

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez récupérer :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez récupérer. N'incluez pas les guillemets.

  2. Récupérez le certificat en procédant comme suit :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  3. Copiez toutes les données de certificat contenues entre guillemets dans un fichier, par exemple client-cert.pem. Ne copiez pas les guillemets eux-mêmes.

Supprimer un certificat client

Console (2e génération)

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.

    Accéder à la page Instances Cloud SQL

  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de client SSL.
  5. Recherchez le certificat que vous souhaitez supprimer, puis cliquez sur l'icône Supprimer.
  6. Dans la boîte de dialogue Supprimer le certificat client, cliquez sur OK.

Console (1re génération)

Cette opération entraîne le redémarrage de votre instance Cloud SQL.

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.

    Accéder à la page Instances Cloud SQL

  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Faites défiler la page vers le bas jusqu'à la section Configurer les certificats de client SSL, recherchez le certificat que vous souhaitez supprimer, puis cliquez sur l'icône Supprimer.

  5. Dans la boîte de dialogue Supprimer le certificat client, cliquez sur Redémarrer maintenant.

    Vous devez redémarrer l'instance pour terminer l'opération.

gcloud

  1. Supprimez le certificat client à l'aide de la commande ssl client-certs delete :

    gcloud sql ssl client-certs delete [CERT_NAME] --instance=[INSTANCE_NAME]

  2. gcloud sql instances restart [INSTANCE_NAME]

REST v1beta4

  1. Répertoriez les certificats de l'instance pour obtenir l'empreinte du certificat que vous souhaitez supprimer :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    Prenez note du champ sha1Fingerprint du certificat que vous souhaitez supprimer. N'incluez pas les guillemets.

  2. Supprimez le certificat comme suit :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance
    • sha1FingerPrint : sha1FingerPrint du certificat

    Méthode HTTP et URL :

    DELETE https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Gérer les certificats de serveur

Effectuer une rotation des certificats de serveur

Si vous avez reçu une notification d'expiration de vos certificats ou si vous avez initié une rotation, vous devez accomplir les étapes suivantes :

  1. Téléchargez les informations du nouveau certificat de serveur.
  2. Mettez à jour vos clients afin qu'ils utilisent les informations du nouveau certificat de serveur.
  3. Effectuez la rotation, qui place le certificat actuel dans l'emplacement "précédent" et active le certificat qui vient d'être ajouté.

Console

Téléchargez les informations du nouveau certificat de serveur :

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.
    Accéder à la page "Instances Cloud SQL"
  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de serveur SSL.
  5. Cliquez sur Créer un certificat.
  6. Accédez à la section Télécharger les certificats de serveur SSL.
  7. Cliquez sur Télécharger.

Les informations de certificat de serveur, encodées sous forme de fichier PEM, s'affichent et peuvent alors être téléchargées dans votre environnement local :

  • Mettez à jour l'ensemble de vos clients MySQL pour qu'ils utilisent les nouvelles informations. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer le fichier server-ca.pem existant.

Après avoir mis à jour les clients, procédez à la rotation :

  1. Revenez à la section Configurer les certificats de serveur SSL.
  2. Cliquez sur Rotation de certificats.
  3. Assurez-vous que les clients se connectent correctement.

    4. Si certains clients ne parviennent pas à se connecter à l'aide du nouveau certificat, cliquez sur Rollback du certificat pour effectuer un rollback vers la configuration précédente.

gcloud

  1. Créez un certificat de serveur :
    gcloud beta sql ssl server-ca-certs create --instance=[INSTANCE]
  2. Téléchargez les informations de certificat sous la forme d'un fichier PEM local : 
    gcloud beta sql ssl server-ca-certs list --format="value(cert)" \
--instance=[INSTANCE_NAME] > [FILE_PATH]/[FILE_NAME].pem
  3. Mettez à jour l'ensemble de vos clients pour qu'ils utilisent les nouvelles informations. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer le fichier server-ca.pem existant.
  4. Après avoir mis à jour les clients, procédez à la rotation : 
            gcloud beta sql ssl server-ca-certs rotate --instance=[INSTANCE_NAME]
  5. Assurez-vous que les clients se connectent correctement.

    Si certains clients ne parviennent pas à se connecter à l'aide du nouveau certificat, effectuez un rollback pour rétablir la configuration précédente.

REST v1beta4

  1. Téléchargez les certificats de serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Effectuer un rollback pour annuler une opération de rotation de certificats

Après avoir accompli une rotation, tous les clients doivent utiliser le nouveau certificat pour se connecter à l'instance Cloud SQL. S'ils n'ont pas été mis à jour correctement pour utiliser les informations du nouveau certificat, ils ne pourront pas se connecter à l'instance à l'aide de SSL/TLS. Dans ce cas, vous pouvez revenir à la configuration de certificat précédente.

L'opération de restauration consiste à placer le certificat actif dans l'emplacement "à venir" (remplaçant tout certificat occupant cet emplacement). Le certificat "précédent" redevient le certificat actif, ramenant votre configuration à son état d'origine.

Pour revenir à la configuration de certificat précédente :

Console

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.
    Accéder à la page "Instances Cloud SQL"
  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de serveur SSL.
  5. Cliquez sur Rotation de certificats. L'action se termine en quelques secondes.
  6. Cliquez sur Rollback du certificat.

gcloud

gcloud beta sql ssl server-ca-certs rollback --instance=[INSTANCE_NAME]

REST v1beta4

  1. Téléchargez les certificats de serveur :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Copiez le champ sha1Fingerprint correspondant à la version à restaurer.

    Recherchez la version ayant une valeur createTime immédiatement antérieure à la version dont la valeur sha1Fingerprint est activeVersion.

  3. Effectuez la restauration avant la rotation :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Corps JSON de la requête :

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Démarrer une rotation

Vous n'avez pas besoin d'attendre l'e-mail de notification de Cloud SQL pour démarrer une rotation. Vous pouvez en initier une à tout moment. Dès lors que vous démarrez une rotation, un nouveau certificat est créé et placé dans l'emplacement "à venir". Si un certificat occupait déjà cet emplacement, il est supprimé. En effet, il ne peut y avoir qu'un seul certificat "à venir".

Pour démarrer une rotation :

Console

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.
    Accéder à la page "Instances Cloud SQL"
  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de serveur SSL.
  5. Cliquez sur Créer un certificat.
  6. Procédez à la rotation comme décrit dans la section Effectuer la rotation des certificats de serveur.

gcloud

  1. Démarrez la rotation : 
         gcloud beta sql ssl server-ca-certs create --instance=[INSTANCE_NAME]
  2. Procédez à la rotation comme décrit dans la section Effectuer la rotation des certificats de serveur.

REST v1beta4

  1. Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Procédez à la rotation comme décrit dans la section Effectuer la rotation des certificats de serveur.

Obtenir des informations sur un certificat de serveur

Vous pouvez obtenir des informations sur votre certificat de serveur, par exemple sa date d'expiration ou son niveau de chiffrement.

Console

  1. Accédez à la page "Instances Cloud SQL" dans Google Cloud Console.

    Accéder à la page Instances Cloud SQL

  2. Cliquez sur un nom d'instance pour ouvrir la page Détails de l'instance.
  3. Cliquez sur le lien Connexions dans le volet de navigation de gauche.
  4. Accédez à la section Configurer les certificats de serveur SSL.

    Vous pouvez consulter la date d'expiration de votre certificat de serveur dans le tableau.

    Pour afficher le type de certificat, utilisez la commande gcloud beta sql ssl server-ca-certs list --instance=[INSTANCE_NAME].

gcloud

gcloud beta sql ssl server-ca-certs list --instance=[INSTANCE_NAME]

REST v1beta4

Vous pouvez consulter des informations sur le certificat de serveur en utilisant la commande décrite dans votre instance :

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • project-id : ID du projet.
  • instance-id : ID de l'instance.

Méthode HTTP et URL :

GET https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

Réinitialiser la configuration SSL/TLS

Vous pouvez réinitialiser complètement votre configuration SSL/TLS.

gcloud

  1. Actualisez le certificat :

    gcloud sql instances reset-ssl-config [INSTANCE_NAME]

  2. gcloud sql instances restart [INSTANCE_NAME]
  3. Créez de nouveaux certificats clients.

REST v1beta4

  1. Actualisez le certificat :

    Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • project-id : ID du projet.
    • instance-id : ID de l'instance.

    Méthode HTTP et URL :

    POST https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. Créez de nouveaux certificats clients.

Étape suivante