In questa pagina viene descritto come utilizzare il protocollo Secure Socket Layer (SSL), ora Transport Layer Security (TLS), dalla tua applicazione per criptare alle istanze Cloud SQL.
Panoramica
Cloud SQL supporta la connessione a un'istanza utilizzando il protocollo SSL/TLS. Le connessioni SSL/TLS offrono un livello crittografando i dati in transito tra il client e il database per l'istanza Cloud SQL. Facoltativamente, la connessione SSL/TLS può Eseguire la verifica dell'identità del server convalidando il certificato del server. installato sull'istanza Cloud SQL e sulla verifica dell'identità del client convalidando il certificato client installato sul client.
Certificati server
Quando crei un'istanza, Cloud SQL crea e installa automaticamente un certificato del server firmato da un'autorità di certificazione (CA). Puoi scaricare il certificato CA sul computer host del client e utilizzarlo per verificare l'identità Cloud SQL della CA e del server. Facoltativamente, puoi scegliere il tipo di CA che Cloud SQL utilizza per firmare il certificato del server.
Certificati client
Facoltativamente, puoi creare e scaricare certificati client oltre alle chiavi della macchina host del client per l'autenticazione reciproca (verifica dell'identità di server e client). Non puoi scegliere il tipo di CA che Cloud SQL usa per firmare il certificato client.
Connettiti tramite SSL/TLS
Quando ti connetti a un'istanza Cloud SQL dai client, puoi utilizzare SSL/TLS per le connessioni dirette e per le connessioni che utilizzano il proxy di autenticazione Cloud SQL o i connettori dei linguaggi Cloud SQL.
Per le connessioni dirette, Google consiglia vivamente di applicare la crittografia SSL/TLS utilizzando l'impostazione della modalità SSL in Cloud SQL. Facoltativamente, puoi di applicare anche la verifica dei certificati client. Per ulteriori informazioni, vedi Applica la crittografia SSL/TLS.
Per le connessioni che utilizzano il proxy di autenticazione Cloud SQL o i connettori dei linguaggi di Cloud SQL, le connessioni vengono criptate automaticamente con SSL/TLS, oltre alla verifica dell'identità del client e del server, senza che sia necessario scaricare un certificato CA del server e un certificato client.
Per ulteriori informazioni sulle opzioni di connettività Cloud SQL, consulta Informazioni sulle connessioni Cloud SQL.
Per ulteriori informazioni sulla configurazione SSL/TLS lato client, consulta la documentazione del motore del database.Gerarchie delle autorità di certificazione (CA)
Questa sezione descrive i due tipi di autorità di certificazione (CA) del server che puoi scegliere per le tue istanze Cloud SQL. Sono disponibili due opzioni:
- CA per istanza: con questa opzione, una CA interna dedicata
a ogni istanza Cloud SQL firma il
certificato del server per quell'istanza.
Cloud SQL crea e gestisce queste CA. Per scegliere una CA per istanza,
specifica
GOOGLE_MANAGED_INTERNAL_CAper l'impostazioneserverCaMode(API Cloud SQL Admin) o il flag--server-ca-mode(gcloud CLI) quando devi creare l'istanza. Se lasci l'impostazione o l'indicatore non specificato, questa opzione è il valore predefinito per l'istanza. CA condivisa: con questa opzione viene utilizzata una gerarchia CA composta da una CA radice e da CA server subordinate. Le CA del server subordinate in una regione firma i certificati del server e vengono condivisi tra le istanze nella regione. Cloud SQL ospita e gestisce la CA radice e le CA del server subordinate su Google Cloud Certificate Authority Service (servizio CA). Cloud SQL gestisce anche la rotazione delle CA radice e delle CA del server subordinate e fornisce link disponibili pubblicamente ai bundle di certificati CA da scaricare. Per scegliere la CA condivisa, specifica
GOOGLE_MANAGED_CAS_CAper l'impostazioneserverCaMode(API Cloud SQL Admin) o il flag--server-ca-mode(interfaccia a riga di comando gcloud) quando crei l'istanza.
Dopo aver creato un'istanza, puoi visualizzare quale gerarchia di CA è configurata
un'istanza Cloud SQL con il comando gcloud sql instances describe.
Per ulteriori informazioni, vedi Visualizzare le informazioni sulle istanze.
La tabella seguente mette a confronto le due gerarchie di CA le opzioni di CPU e memoria disponibili.
| Funzionalità | CA per istanza | CA condivisa |
|---|---|---|
| Struttura dell'account cliente | CA separata per ogni istanza | CA radice e CA subordinate condivise tra le istanze nella stessa regione |
| Attributi crittografici | Chiave RSA a 2048 bit con algoritmo SHA256 | Elliptic Curve Digital Signature Algorithm (ECDSA) con chiave a 384 bit con algoritmo SHA384 |
| Periodo di validità della certificazione per la California | 10 anni | 25 anni per le CA radice e 10 anni per le CA subordinate |
| Periodo di validità del certificato del server | 10 anni | 1 anno |
| Rotazione dell'autorità di certificazione avviata dall'utente? | Sì | No. La rotazione delle CA è gestita da Cloud SQL |
| Rotazione del certificato del server avviata dall'utente? | Sì | Sì |
| CA trust anchor per connessioni TLS | La CA univoca per istanza è il trust anchor per l'istanza corrispondente. | La CA radice e le CA secondarie sono le ancore di attendibilità per tutte le istanze in una determinata regione. |
| Verifica dell'identità del server | La verifica della CA permette di verificare l'identità del server poiché ogni istanza ha una CA univoca. | La verifica del nome host e la verifica della CA sono necessarie per la verifica dell'identità del server, poiché le CA del server sono condivise tra le istanze. |
| Campo SAN (Subject Alternative Name) nei certificati server | Il campo SAN contiene il nome host (nome DNS dell'istanza) solo per le istanze abilitate con Private Service Connect. Per l'identità del server è possibile utilizzare il nome host verifica. Se ti connetti a un'istanza Cloud SQL utilizzando il nome DNS come nome host, devi configurare la risoluzione DNS. | Il campo SAN contiene il nome host (nome DNS dell'istanza) per tutti i tipi di istanze. Il nome host può essere utilizzato per la verifica dell'identità del server. Se ti connetti a un'istanza Cloud SQL utilizzando il nome DNS come nome host, devi configurare la risoluzione DNS. |
CA per istanza ospitata da Cloud SQL
Questa gerarchia di CA è la configurazione predefinita della modalità CA del server.
Cloud SQL crea una nuova CA del server autofirmata per ogni
quando crei l'istanza.
Per utilizzare questa impostazione, imposta serverCaMode su GOOGLE_MANAGED_INTERNAL_CA o lascia l'impostazione di configurazione non specificata quando crei l'istanza.
Il seguente diagramma mostra la gerarchia delle CA per istanza.
CA condivise ospitate da CA Service
Questa modalità CA del server è composta da una CA radice e da CA del server subordinate in ogni regione. Le CA del server subordinate rilasciano certificati server e sono condivise tra le istanze della regione. Cloud SQL gestisce la rotazione CA del server regionale condivise e fornisce link disponibili pubblicamente Pacchetti di certificati CA.
Puoi configurare un'istanza in modo che utilizzi una gerarchia di CA del server in cui le CA di emissione sono condivise tra le istanze nella stessa regione. Per utilizzare questa impostazione:
configura serverCaMode su GOOGLE_MANAGED_CAS_CA quando crei l'istanza.
Il seguente diagramma mostra la gerarchia delle CA condivise.
Come funziona la rotazione dei certificati del server
Cloud SQL offre modi per ruotare il certificato del server; in modo che il nuovo certificato possa essere sostituito senza problemi prima di quello precedente scade.
Il comando di rotazione da utilizzare dipende dal fatto che tu stia utilizzando un certificato del server emesso da un'autorità di certificazione per istanza o un certificato del server emesso dall'autorità di certificazione condivisa.
Circa tre mesi prima della scadenza del certificato del server per un Cloud SQL Ad esempio, i proprietari del progetto ricevono un'email da Cloud SQL in cui viene indicato il processo di rotazione dei certificati per quell'istanza. L'email fornisce il nome dell'istanza e comunica che Cloud SQL ha aggiunto un nuovo certificato del server al progetto. Il certificato del server esistente continua a funzionare normalmente. In effetti, ha due certificati server durante questo periodo.
Prima della scadenza del certificato attuale, scarica il nuovo file server-ca.pem,
che contiene le informazioni del certificato sia per il certificato attuale sia per quello nuovo.
Aggiorna i client PostgreSQL in modo che utilizzino il nuovo
file copiandolo su tutte le macchine host dei client PostgreSQL, sostituendo
il file esistente.
Dopo aver aggiornato tutti i client PostgreSQL, invia un comando di rotazione (per l'autorità di certificazione per istanza) o un comando di rotazione (per l'autorità di certificazione condivisa) all'istanza Cloud SQL per eseguire la rotazione al nuovo certificato del server. Dopodiché, il vecchio certificato del server non viene più riconosciuto e solo il nuovo server è possibile utilizzare il certificato.
I certificati client non sono interessati dalla rotazione dei certificati del server.Scadenza del certificato SSL
Per impostazione predefinita, le istanze Cloud SQL utilizzano
impostazione predefinita di GOOGLE_MANAGED_INTERNAL_CA come serverCaMode. I certificati SSL hanno una durata di 10 anni. Prima di questi certificati
scadere, eseguire la rotazione CA.
Per le istanze che utilizzano CA condivise
(serverCaMode è impostata su GOOGLE_MANAGED_CAS_CA),
la scadenza dei certificati del server è di 1 anno.
Prima della scadenza, esegui la rotazione del certificato SSL. Il certificato dell'autorità di certificazione (CA) radice ha un periodo di scadenza di 25 anni, mentre il certificato della CA condivisa subordinata ha un periodo di scadenza di 10 anni.
Cloud SQL gestisce la loro rotazione.
Se un client è configurato per verificare la CA o il nome host sul server quindi le connessioni del client alle istanze Cloud SQL con certificati del server non andranno a buon fine. Per evitare interruzioni delle connessioni client, Ruota il certificato del server prima che scada.
Sia che utilizzi la CA per istanza o la modalità server CA condivisa, puoi reimpostare il protocollo SSL configurazione dell'istanza Cloud SQL in qualsiasi momento.
Passaggi successivi
Configura SSL/TLS sull'istanza Cloud SQL.
Scopri di più su come viene gestita la crittografia in Google Cloud.
- Connessione tramite SSL/TLS all'istanza Cloud SQL.
- Gestisci SSL/TLS sulla tua istanza Cloud SQL.
- Scopri di più su come PostgreSQL utilizza SSL/TLS.