Halaman ini menjelaskan cara menggunakan Secure Socket Layer (SSL), yang kini Transport Layer Security (TLS), dari aplikasi Anda untuk mengenkripsi koneksi ke instance Cloud SQL.
Ringkasan
Cloud SQL mendukung koneksi ke instance menggunakan protokol SSL/TLS. Koneksi SSL/TLS memberikan lapisan keamanan dengan mengenkripsi data dalam pengiriman antara klien dan database di instance Cloud SQL Anda. Secara opsional, koneksi SSL/TLS Anda dapat melakukan verifikasi identitas server dengan memvalidasi sertifikat server yang diinstal di instance Cloud SQL dan verifikasi identitas klien dengan memvalidasi sertifikat klien yang diinstal di klien.
Sertifikat Server
Saat Anda membuat instance, Cloud SQL akan otomatis membuat dan menginstal sertifikat server yang ditandatangani oleh certificate authority (CA). Anda dapat mendownload sertifikat CA ke mesin host klien dan menggunakannya untuk memverifikasi identitas CA dan server Cloud SQL. Secara opsional, Anda dapat memilih jenis CA yang digunakan Cloud SQL untuk menandatangani sertifikat server.
Sertifikat klien
Anda dapat membuat dan mendownload sertifikat klien bersama dengan kunci ke mesin host klien secara opsional untuk autentikasi bersama (verifikasi identitas server dan klien). Anda tidak dapat memilih jenis CA yang digunakan Cloud SQL untuk menandatangani sertifikat klien.
Menghubungkan menggunakan SSL/TLS
Saat terhubung ke instance Cloud SQL dari klien, Anda dapat menggunakan SSL/TLS untuk koneksi langsung serta untuk koneksi yang menggunakan Proxy Auth Cloud SQL atau Cloud SQL Language Connectors.
Untuk koneksi langsung, Google sangat merekomendasikan penerapan enkripsi SSL/TLS menggunakan setelan mode SSL di Cloud SQL. Secara opsional, Anda juga dapat menerapkan verifikasi sertifikat klien. Untuk informasi selengkapnya, lihat Menerapkan enkripsi SSL/TLS.
Untuk koneksi yang menggunakan Proxy Auth Cloud SQL atau Konektor Bahasa Cloud SQL, koneksi tersebut otomatis dienkripsi dengan SSL/TLS beserta verifikasi identitas klien dan server tanpa mengharuskan Anda mendownload sertifikat CA server dan sertifikat klien.
Untuk mengetahui informasi selengkapnya tentang opsi konektivitas Cloud SQL, lihat Tentang koneksi Cloud SQL.
Untuk informasi selengkapnya tentang konfigurasi SSL/TLS sisi klien, lihat dokumentasi untuk mesin database Anda.Hierarki certificate authority (CA)
Bagian ini menjelaskan tiga jenis certificate authority (CA) server yang dapat Anda pilih untuk instance Cloud SQL. Anda memiliki tiga opsi:
- CA per instance: dengan opsi ini, CA internal yang didedikasikan
untuk setiap instance Cloud SQL akan menandatangani
sertifikat server untuk instance tersebut.
Cloud SQL membuat dan mengelola CA ini. Untuk memilih CA per instance,
tentukan
GOOGLE_MANAGED_INTERNAL_CAuntuk setelanserverCaMode(Cloud SQL Admin API) atau tanda--server-ca-mode(gcloud CLI) saat Anda membuat instance. Jika Anda tidak menentukan setelan atau tanda saat membuat instance, opsi ini adalah nilai default untuk instance. CA Bersama: dengan opsi ini, hierarki CA yang terdiri dari root CA dan CA server subordinat akan digunakan. CA server bawahan di region menandatangani sertifikat server dan dibagikan di seluruh instance di region. Cloud SQL menghosting dan mengelola root CA dan CA server subordinasi di Google Cloud Certificate Authority Service (Layanan CA). Cloud SQL juga menangani rotasi CA root dan CA server subordinasi serta menyediakan link yang tersedia secara publik ke paket sertifikat CA untuk didownload. Untuk memilih CA bersama, tentukan
GOOGLE_MANAGED_CAS_CAuntuk setelanserverCaMode(Cloud SQL Admin API) atau tanda--server-ca-mode(gcloud CLI) saat Anda membuat instance.Opsi CA bersama berada dalam Pratinjau.
CA yang dikelola pelanggan: dengan opsi ini, Anda membuat dan mengelola hierarki CA Anda sendiri. Pilih opsi ini jika Anda ingin mengelola CA dan sertifikat Anda sendiri. Untuk memilih CA bersama, Anda perlu membuat kumpulan CA dan CA di Layanan CA. Di Cloud SQL, tentukan kumpulan CA dan
CUSTOMER_MANAGED_CAS_CAuntuk setelanserverCaMode(Cloud SQL Admin API) atau tanda--server-ca-mode(gcloud CLI) saat Anda membuat instance.Opsi CA yang dikelola pelanggan berada dalam Pratinjau.
Setelah membuat instance, Anda dapat melihat hierarki CA yang dikonfigurasi untuk
instance Cloud SQL menggunakan perintah gcloud sql instances describe.
Untuk mengetahui informasi selengkapnya, lihat Melihat informasi instance.
Tabel berikut membandingkan tiga opsi hierarki CA.
| Fitur | CA per instance | CA Bersama | CA yang dikelola pelanggan |
|---|---|---|---|
| Struktur CA | CA terpisah untuk setiap instance | Root CA dan CA subordinat yang digunakan bersama di seluruh instance di region yang sama | Hierarki CA yang Anda buat dan kelola |
| Atribut kriptografis | Kunci RSA 2048-bit dengan algoritma SHA256 | Elliptic Curve Digital Signature Algorithm (ECDSA) dengan kunci 384-bit dengan algoritma SHA384 | Elliptic Curve Digital Signature Algorithm (ECDSA) dengan kunci 384-bit dengan algoritma SHA384 |
| Periode validitas CA | 10 tahun | 25 tahun untuk root CA dan 10 tahun untuk subordinate CA | Dapat Dikonfigurasi * |
| Periode validitas sertifikat server | 10 tahun | 1 tahun | 1 tahun** |
| Rotasi CA yang dimulai pengguna? | Ya | Tidak. Rotasi CA dikelola oleh Cloud SQL | Ya |
| Rotasi sertifikat server yang dimulai pengguna? | Ya | Ya | Ya |
| Anchor kepercayaan CA untuk koneksi TLS | CA unik per instance adalah anchor kepercayaan untuk instance yang sesuai. | CA root dan CA subordinat adalah anchor kepercayaan untuk semua instance di region tertentu. | CA yang Anda buat dan kelola adalah anchor kepercayaan. |
| Verifikasi identitas server | Memverifikasi CA akan memverifikasi identitas server karena setiap instance memiliki CA unik. | Memverifikasi nama host beserta memverifikasi CA diperlukan untuk verifikasi identitas server karena CA server dibagikan di seluruh instance. | Meskipun CA mungkin tidak dibagikan di seluruh instance, sebaiknya Anda memverifikasi nama host bersama dengan memverifikasi CA. |
| Kolom Nama Alternatif Subjek (SAN) di sertifikat server | Kolom SAN berisi nama host (nama DNS instance) hanya untuk instance yang diaktifkan dengan Private Service Connect. Nama host dapat digunakan untuk verifikasi identitas server. Jika terhubung ke instance Cloud SQL menggunakan nama DNS sebagai nama host, Anda harus menyiapkan resolusi DNS. | Kolom SAN berisi nama host (nama DNS instance) untuk semua jenis instance. Nama host dapat digunakan untuk verifikasi identitas server. Jika terhubung ke instance Cloud SQL menggunakan nama DNS sebagai nama host, Anda harus menyiapkan resolusi DNS. | Kolom SAN berisi nama host (nama DNS instance) untuk semua jenis instance. Nama host dapat digunakan untuk verifikasi identitas server. |
* Untuk opsi CA yang dikelola pelanggan, periode validitas default sertifikat CA di Layanan CA adalah 10 tahun. Anda memiliki opsi untuk mengonfigurasi periode validitas yang berbeda untuk sertifikat CA. Periode validitas yang lebih singkat untuk CA mungkin memerlukan rotasi CA yang lebih sering dan periode validitas yang lebih singkat dari satu tahun dapat memengaruhi periode validitas sertifikat server Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola rotasi CA.
** Untuk opsi CA yang dikelola pelanggan, periode validitas default sertifikat server adalah satu tahun. Namun, jika Anda mengonfigurasi periode validitas yang lebih singkat dari satu tahun untuk sertifikat CA, sertifikat server Anda akan memiliki periode validitas yang lebih singkat. Untuk informasi selengkapnya tentang cara mengonfigurasi periode validitas sertifikat CA Anda setelah pembuatan, lihat Setelan sertifikat CA dan Membuat root CA.
CA per instance yang dihosting oleh Cloud SQL
Hierarki CA per instance adalah konfigurasi mode CA server default saat Anda membuat instance menggunakan gcloud CLI, Cloud SQL Admin API, atau Terraform.
Cloud SQL membuat CA server yang ditandatangani sendiri baru untuk setiap
instance saat Anda membuat instance.
Untuk menggunakan setelan ini, konfigurasikan serverCaMode ke GOOGLE_MANAGED_INTERNAL_CA saat Anda membuat instance.
Anda dapat membiarkan setelan konfigurasi serverCaMode tidak ditentukan menggunakan Cloud SQL Admin API atau gcloud CLI, atau memilih opsi Certificate Authority internal Google di konsol Google Cloud.
Diagram berikut menunjukkan hierarki CA per instance.
CA bersama yang dihosting oleh Layanan CA
Hierarki CA bersama adalah konfigurasi mode CA server default saat Anda membuat instance menggunakan konsol Google Cloud.
Mode CA server ini terdiri dari root CA dan CA server bawahan di setiap region. CA server subordinasi menerbitkan sertifikat server dan dibagikan di seluruh instance di region. Cloud SQL menangani rotasi CA server regional bersama dan menyediakan link yang tersedia secara publik untuk mendownload paket sertifikat CA.
Anda dapat mengonfigurasi instance untuk menggunakan hierarki CA server tempat CA
penerbit dibagikan di seluruh instance di region yang sama. Untuk menggunakan setelan ini, konfigurasikan serverCaMode ke GOOGLE_MANAGED_CAS_CA saat Anda membuat instance.
Diagram berikut menunjukkan hierarki CA bersama.
CA yang dikelola pelanggan
Mode CA server ini memungkinkan Anda menyiapkan hierarki CA Anda sendiri di CA Service.
Untuk menggunakan opsi CA yang dikelola pelanggan
di Cloud SQL, Anda membuat kumpulan CA di region yang sama
dengan instance Cloud SQL. Kemudian, Anda membuat minimal satu CA.
Saat membuat instance Cloud SQL, tentukan ID
kumpulan CA di kolom serverCaPool dan konfigurasikan kolom serverCaMode
dengan nilai CUSTOMER_MANAGED_CAS_CA.
CA Service menyediakan CA dari kumpulan CA dan
menggunakan CA tersebut untuk menerbitkan sertifikat server untuk instance.
Saat membuat CA di Layanan CA, Anda dapat membuat root CA atau subordinate CA, bergantung pada kasus penggunaan Anda. Misalnya, Anda mungkin ingin membuat CA subordinat jika berencana menyiapkan hierarki CA root atau membuat rantai ke CA eksternal.
Pilih opsi CA yang dikelola pelanggan hanya jika Anda ingin mengelola CA dan sertifikat Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan CA yang dikelola pelanggan. Opsi CA yang dikelola pelanggan berada dalam Pratinjau.
Cara kerja rotasi sertifikat server
Cloud SQL menyediakan cara untuk merotasi sertifikat server Anda, sehingga sertifikat baru dapat ditukar dengan lancar sebelum sertifikat lama berakhir. expired.
Untuk instance yang menggunakan hierarki CA per instance, CA bersama, atau CA yang dikelola pelanggan, sekitar tiga bulan sebelum masa berlaku sertifikat server untuk instance Cloud SQL berakhir, pemilik project akan menerima email dari Cloud SQL, yang menyatakan bahwa proses rotasi sertifikat untuk instance tersebut telah dimulai. Email tersebut memberikan nama instance, dan mengatakan bahwa Cloud SQL telah menambahkan sertifikat server baru ke project. Sertifikat server yang ada terus berfungsi secara normal. Akibatnya, instance memiliki dua sertifikat server selama periode ini.
Perintah rotasi sertifikat server yang akan digunakan bergantung pada apakah Anda menggunakan sertifikat server yang dikeluarkan oleh CA per instance atau sertifikat server yang dikeluarkan oleh CA bersama atau CA yang dikelola pelanggan.
Sebelum masa berlaku sertifikat server saat ini berakhir, download file server-ca.pem baru,
yang berisi informasi sertifikat untuk sertifikat server saat ini dan
sertifikat server yang baru. Update klien PostgreSQL Anda untuk menggunakan file baru,
dengan menyalinnya ke semua mesin host klien PostgreSQL Anda, sehingga
file yang sudah ada akan diganti.
Setelah semua klien PostgreSQL Anda diupdate, kirim perintah rotasi (untuk CA per instance) atau perintah rotasi (untuk CA bersama atau CA yang dikelola pelanggan) ke instance Cloud SQL untuk melakukan rotasi ke sertifikat server baru. Setelah selesai, sertifikat server lama tidak akan lagi dikenali, dan hanya sertifikat server baru yang dapat digunakan.
Sertifikat klien tidak terpengaruh oleh rotasi sertifikat server.Masa berlaku sertifikat SSL telah berakhir
Untuk instance Cloud SQL yang menggunakan CA per instance
(serverCaMode ditetapkan ke GOOGLE_MANAGED_INTERNAL_CA),
sertifikat SSL memiliki
masa berlaku 10 tahun. Sebelum masa berlaku sertifikat ini berakhir, lakukan rotasi sertifikat CA server.
Untuk instance yang menggunakan CA bersama
(serverCaMode ditetapkan ke GOOGLE_MANAGED_CAS_CA) (Pratinjau),
periode habis masa berlaku sertifikat server adalah 1 tahun.
Sebelum masa berlaku habis, lakukan rotasi sertifikat server.
Sertifikat root certificate authority (CA) memiliki periode habis masa berlaku 25 tahun dan sertifikat CA bersama subordinat memiliki periode habis masa berlaku 10 tahun.
Cloud SQL menangani rotasi kunci enkripsi.
Jika menggunakan CA yang dikelola pelanggan (serverCaMode ditetapkan ke CUSTOMER_MANAGED_CAS_CA)(Pratinjau),
Anda dapat melakukan rotasi sertifikat CA dengan memutar CA di
kumpulan CA yang Anda buat. Periode habis masa berlaku CA biasanya 10 tahun,
tetapi Anda dapat mengonfigurasi periode validitas yang lebih singkat untuk CA di Layanan CA.
Untuk merotasi CA, gunakan proses rotasi CA di CA Service. Untuk mengetahui informasi selengkapnya, lihat Mengelola rotasi CA.
Jika klien dikonfigurasi untuk memverifikasi CA atau memverifikasi nama host di sertifikat server, koneksi klien tersebut ke instance Cloud SQL dengan sertifikat server yang sudah tidak berlaku akan gagal. Untuk mencegah gangguan pada koneksi klien, rotasi sertifikat server sebelum masa berlaku sertifikat berakhir.
Baik Anda menggunakan CA per instance, CA bersama, atau mode server CA yang dikelola pelanggan, Anda dapat mereset konfigurasi SSL instance Cloud SQL Anda kapan saja.
Langkah berikutnya
Konfigurasikan SSL/TLS pada instance Cloud SQL.
Pelajari lebih lanjut cara penanganan enkripsi di Google Cloud.
- Hubungkan menggunakan SSL/TLS ke instance Cloud SQL.
- Kelola SSL/TLS di instance Cloud SQL Anda.
- Pelajari lebih lanjut cara PostgreSQL menggunakan SSL/TLS.