Configurer des certificats SSL/TLS

Cette page explique comment appliquer le chiffrement SSL/TLS pour une instance afin de vous assurer que toutes les connexions sont chiffrées. Vous pouvez également en savoir plus sur la façon dont Cloud SQL utilise des certificats SSL/TLS autogérés pour se connecter en toute sécurité aux instances Cloud SQL.

Présentation

Cloud SQL crée automatiquement un certificat de serveur (server-ca.pem) lors de la création d'une instance. Nous vous recommandons d'appliquer toutes les connexions afin qu'elles utilisent le chiffrement SSL/TLS.

Pour valider l'identité du client/serveur à l'aide de certificats SSL/TLS, vous devez créer un certificat client et télécharger les certificats sur la machine hôte du client PostgreSQL.

Lorsque vous appliquez le protocole SSL pour une instance, celle-ci ne nécessite pas de redémarrage. Toutefois, les modifications apportées aux certificats SSL/TLS peuvent entraîner un redémarrage automatique de l'instance et des temps d'arrêt.

La modification de la configuration du mode SSL ne s'applique qu'aux nouvelles connexions. Si vous appliquez le protocole SSL et que votre instance dispose déjà de connexions non chiffrées, ces connexions restent connectées et non chiffrées. Pour fermer les connexions non chiffrées et appliquer le protocole SSL à toutes les connexions, vous devez redémarrer votre instance.

Appliquer le chiffrement SSL/TLS

Vous pouvez utiliser le paramètre Mode SSL pour appliquer le chiffrement SSL des manières suivantes :

  • Autoriser à la fois les connexions non-SSL/non-TLS et SSL/TLS. Le certificat client n'est pas validé pour les connexions SSL/TLS. Il s'agit de l'option par défaut.

  • Autoriser uniquement les connexions chiffrées avec SSL/TLS. Le certificat client n'est pas validé pour les connexions SSL.

  • Autoriser uniquement les connexions chiffrées avec SSL/TLS et avec des certificats clients valides.

Si vous sélectionnez Autoriser les connexions non-SSL/non-TLS et SSL/TLS pour votre instance Cloud SQL, les connexions SSL/TLS, ainsi que les connexions non chiffrées et non sécurisées, sont acceptées. Si vous n'exigez pas SSL/TLS pour toutes les connexions, les connexions non chiffrées sont toujours autorisées. Par conséquent, si vous accédez à votre instance à l'aide d'une adresse IP publique, nous vous recommandons vivement d'appliquer le protocole SSL à toutes les connexions.

Vous pouvez vous connecter directement aux instances à l'aide de certificats SSL/TLS, ou vous pouvez vous connecter à l'aide du proxy d'authentification Cloud SQL ou des connecteurs Cloud SQL. Si vous vous connectez à l'aide du proxy d'authentification Cloud SQL ou de connecteurs Cloud SQL, les connexions sont automatiquement chiffrées avec SSL/TLS. Avec le proxy d'authentification Cloud SQL et les connecteurs Cloud SQL, les identités client et serveur sont également validées automatiquement, quel que soit le paramètre de mode SSL.

Pour activer l'exigence SSL/TLS, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Sélectionnez l'une des options suivantes :
    • Autoriser le trafic réseau non chiffré (non recommandé)
    • Autoriser uniquement les connexions SSL. Cette option n'autorise que les connexions utilisant le chiffrement SSL/TLS. Les certificats ne sont pas validés.
    • Exiger des certificats client de confiance. Cette option n'autorise que les connexions provenant de clients utilisant un certificat client valide et qui sont chiffrés par SSL. Si un client ou un utilisateur se connecte à l'aide de l'authentification IAM pour les bases de données, il doit utiliser le proxy d'authentification Cloud SQL ou les connecteurs Cloud SQL pour appliquer la validation de l'identité client.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE
  

Remplacez SSL_ENFORCEMENT_MODE par l'un des éléments suivants :

  • ALLOW_UNENCRYPTED_AND_ENCRYPTED autorise les connexions non-SSL/non-TLS et SSL/TLS. Pour les connexions SSL, le certificat client n'est pas validé. Il s'agit de la valeur par défaut.
  • ENCRYPTED_ONLY autorise uniquement les connexions chiffrées avec SSL/TLS. Le certificat client n'est pas validé pour les connexions SSL.
  • TRUSTED_CLIENT_CERTIFICATE_REQUIRED autorise uniquement les connexions chiffrées avec SSL/TLS et avec les certificats clients valides. Si un client ou un utilisateur se connecte à l'aide de l'authentification IAM pour les bases de données, il doit utiliser le proxy d'authentification Cloud SQL ou les connecteurs Cloud SQL pour appliquer la validation de l'identité client.
  • Pour en savoir plus, consultez la page Paramètres pour Cloud SQL pour PostgreSQL.

Terraform

Pour appliquer le chiffrement SSL/TLS, utilisez une ressource Terraform :

resource "google_sql_database_instance" "postgres_instance" {
  name             = "postgres-instance"
  region           = "asia-northeast1"
  database_version = "POSTGRES_14"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      ssl_mode = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Appliquer les modifications

Pour appliquer votre configuration Terraform dans un projet Google Cloud, suivez les procédures des sections suivantes.

Préparer Cloud Shell

  1. Lancez Cloud Shell.
  2. Définissez le projet Google Cloud par défaut dans lequel vous souhaitez appliquer vos configurations Terraform.

    Vous n'avez besoin d'exécuter cette commande qu'une seule fois par projet et vous pouvez l'exécuter dans n'importe quel répertoire.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Les variables d'environnement sont remplacées si vous définissez des valeurs explicites dans le fichier de configuration Terraform.

Préparer le répertoire

Chaque fichier de configuration Terraform doit avoir son propre répertoire (également appelé module racine).

  1. Dans Cloud Shell, créez un répertoire et un nouveau fichier dans ce répertoire. Le nom du fichier doit comporter l'extension .tf, par exemple main.tf. Dans ce tutoriel, le fichier est appelé main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Si vous suivez un tutoriel, vous pouvez copier l'exemple de code dans chaque section ou étape.

    Copiez l'exemple de code dans le fichier main.tf que vous venez de créer.

    Vous pouvez également copier le code depuis GitHub. Cela est recommandé lorsque l'extrait Terraform fait partie d'une solution de bout en bout.

  3. Examinez et modifiez les exemples de paramètres à appliquer à votre environnement.
  4. Enregistrez les modifications.
  5. Initialisez Terraform. Cette opération n'est à effectuer qu'une seule fois par répertoire.
    terraform init

    Vous pouvez également utiliser la dernière version du fournisseur Google en incluant l'option -upgrade :

    terraform init -upgrade

Appliquer les modifications

  1. Examinez la configuration et vérifiez que les ressources que Terraform va créer ou mettre à jour correspondent à vos attentes :
    terraform plan

    Corrigez les modifications de la configuration si nécessaire.

  2. Appliquez la configuration Terraform en exécutant la commande suivante et en saisissant yes lorsque vous y êtes invité :
    terraform apply

    Attendez que Terraform affiche le message "Apply completed!" (Application terminée).

  3. Ouvrez votre projet Google Cloud pour afficher les résultats. Dans la console Google Cloud, accédez à vos ressources dans l'interface utilisateur pour vous assurer que Terraform les a créées ou mises à jour.

Supprimer les modifications

Pour supprimer vos modifications, procédez comme suit :

  1. Pour désactiver la protection contre la suppression, définissez l'argument deletion_protection sur false dans le fichier de configuration Terraform.
    deletion_protection =  "false"
  2. Appliquez la configuration Terraform mise à jour en exécutant la commande suivante et en saisissant yes lorsque vous y êtes invité :
    terraform apply
  1. Supprimez les ressources précédemment appliquées à votre configuration Terraform en exécutant la commande suivante et en saisissant yes à la requête :

    terraform destroy

REST v1

  1. Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet.
    • SSL_ENFORCEMENT_MODE : utilisez l'une des options suivantes :
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED : autorise les connexions non-SSL/non-TLS et SSL/TLS. Pour les connexions SSL, le certificat client n'est pas vérifié. Il s'agit de la valeur par défaut.
      • ENCRYPTED_ONLY : autorise uniquement les connexions chiffrées avec SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED : autorise uniquement les connexions chiffrées avec SSL/TLS et avec les certificats clients valides. Si un client ou un utilisateur se connecte à l'aide de l'authentification IAM pour les bases de données, il doit utiliser le proxy d'authentification Cloud SQL ou les connecteurs Cloud SQL pour appliquer la validation de l'identité client.
    • INSTANCE_ID : ID de l'instance.

    Méthode HTTP et URL :

    PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

    Corps JSON de la requête :

    
    {
      "settings": {
        "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
      }
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

REST v1beta4

  1. Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

    • PROJECT_ID : ID du projet.
    • SSL_ENFORCEMENT_MODE : utilisez l'une des options suivantes :
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED : autorise les connexions non-SSL/non-TLS et SSL/TLS. Pour les connexions SSL, le certificat client n'est pas vérifié. Il s'agit de la valeur par défaut.
      • ENCRYPTED_ONLY : autorise uniquement les connexions chiffrées avec SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED : autorise uniquement les connexions chiffrées avec SSL/TLS et avec les certificats clients valides. Si un client ou un utilisateur se connecte à l'aide de l'authentification IAM pour les bases de données, il doit utiliser le proxy d'authentification Cloud SQL ou les connecteurs Cloud SQL pour appliquer la validation de l'identité client.
    • INSTANCE_ID : ID de l'instance.

    Méthode HTTP et URL :

    PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

    Corps JSON de la requête :

    {
      "settings": {
        "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
      }
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

Certificats du serveur

Cloud SQL crée automatiquement un certificat de serveur lors de la création d'une instance. Tant que celui-ci est valide, vous n'avez pas besoin de gérer activement le certificat du serveur. Toutefois, le certificat possède une date d'expiration de 10 ans. Après ce délai, il n'est plus valide et les clients ne sont plus en mesure d'établir une connexion sécurisée à votre instance à l'aide de ce certificat. Vous êtes régulièrement informé que le certificat du serveur approche de la date d'expiration. Les notifications sont envoyées les nombres de jours suivants avant la date d'expiration : 90, 30, 10, 2 et 1.

Vous pouvez obtenir des informations sur votre certificat de serveur, telles que sa date de création et d'expiration, ou vous pouvez en créer un manuellement.

Console

  1. Dans Google Cloud Console, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Accédez à la section Gérer les certificats de serveur.

    Vous pouvez consulter la date d'expiration de votre certificat de serveur dans le tableau.

gcloud

  1. Obtenez des informations sur le certificat de service :
    gcloud beta sql ssl server-ca-certs list \
    --instance=INSTANCE_NAME
  2. Créez un certificat de serveur :
    gcloud beta sql ssl server-ca-certs create \
    --instance=INSTANCE_NAME
  3. Téléchargez les informations de certificat sous la forme d'un fichier PEM local :
    gcloud beta sql ssl server-ca-certs list \
    --format="value(cert)" \
    --instance=INSTANCE_NAME > \
    FILE_PATH/FILE_NAME.pem
  4. Mettez à jour l'ensemble de vos clients pour qu'ils utilisent les nouvelles informations. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer les fichiers server-ca.pem existants.

Terraform

Pour fournir des informations de certificat de serveur en tant que sortie, utilisez une source de données Terraform :

  1. Ajoutez le code suivant à votre fichier de configuration Terraform :
       data "google_sql_ca_certs" "ca_certs" {
         instance = google_sql_database_instance.default.name
       }
    
       locals {
         furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
         latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
       }
    
       output "db_latest_ca_cert" {
         description = "Latest CA certificate used by the primary database server"
         value       = local.latest_ca_cert
         sensitive   = true
       }
       
  2. Pour créer le fichier server-ca.pem, exécutez la commande suivante :
       terraform output db_latest_ca_cert > server-ca.pem
       

Certificats clients

Créer un certificat client

Vous pouvez créer jusqu'à 10 certificats clients pour chaque instance. Pour créer des certificats clients, vous devez disposer du rôle IAM Cloud SQL Admin.

Voici quelques points importants à connaître sur les certificats clients :

  • Si vous perdez la clé privée d'un certificat, vous devez en créer un nouveau. La clé privée ne peut pas être récupérée.
  • Par défaut, le certificat client a une date d'expiration de 10 ans.
  • Vous n'êtes pas averti de l'expiration des certificats client.
  • Pour créer un certificat SSL, votre instance Cloud SQL doit être opérationnelle.

Console

  1. Dans Google Cloud Console, accédez à la page Instances Cloud SQL.

    Accéder à la page Instances Cloud SQL

  2. Pour ouvrir la page Présentation d'une instance, cliquez sur son nom.
  3. Dans le menu de navigation SQL, sélectionnez Connexions.
  4. Cliquez sur l'onglet Sécurité.
  5. Cliquez sur Créer un certificat client.
  6. Dans la boîte de dialogue Créer un certificat client, ajoutez un nom unique.
  7. Cliquez sur Créer.
  8. Dans la première section de la boîte de dialogue Nouveau certificat SSL créé, cliquez sur Télécharger client-key.pem pour télécharger la clé privée dans un fichier nommé client-key.pem.
  9. Dans la deuxième section, cliquez sur Télécharger client-cert.pem pour télécharger le certificat client dans un fichier nommé client-cert.pem.
  10. Dans la troisième section, cliquez sur Télécharger server-ca.pem pour télécharger le certificat de serveur dans un fichier nommé server-ca.pem.
  11. Cliquez sur Fermer.

gcloud

  1. Créez un certificat client à l'aide de la commande ssl client-certs create :

    gcloud sql ssl client-certs create CERT_NAME client-key.pem \
    --instance=INSTANCE_NAME
  2. Récupérez la clé publique du certificat que vous venez de créer, puis copiez-la dans le fichier client-cert.pem à l'aide de la commande ssl client-certs describe :

    gcloud sql ssl client-certs describe CERT_NAME \
    --instance=INSTANCE_NAME \
    --format="value(cert)" > client-cert.pem
  3. Copiez ensuite le certificat de serveur dans le fichier server-ca.pem à l'aide de la commande instances describe :

    gcloud sql instances describe INSTANCE_NAME \
    --format="value(serverCaCert.cert)" > server-ca.pem

Terraform

Pour créer un certificat client, utilisez une ressource Terraform :

resource "google_sql_ssl_cert" "postgres_client_cert" {
  common_name = "postgres_common_name"
  instance    = google_sql_database_instance.postgres_instance.name
}

REST v1

  1. Créez un certificat SSL/TLS en lui attribuant un nom unique pour cette instance :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • client-cert-name : nom du certificat client

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Corps JSON de la requête :

    {
      "commonName" : "client-cert-name"
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. À partir de la réponse obtenue, copiez tout le contenu du certificat entre guillemets (sans inclure les guillemets) dans des fichiers locaux, comme suit :
    1. Copiez serverCaCert.cert dans server-ca.pem.
    2. Copiez clientCert.cert dans client-cert.pem.
    3. Copiez certPrivateKey dans client-key.pem.

REST v1beta4

  1. Créez un certificat SSL/TLS en lui attribuant un nom unique pour cette instance :

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • project-id : ID du projet
    • instance-id : ID de l'instance
    • client-cert-name : nom du certificat client

    Méthode HTTP et URL :

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Corps JSON de la requête :

    {
      "commonName" : "client-cert-name"
    }
    

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

  2. À partir de la réponse obtenue, copiez tout le contenu du certificat entre guillemets (sans inclure les guillemets) dans des fichiers locaux, comme suit :
    1. Copiez serverCaCert.cert dans server-ca.pem.
    2. Copiez clientCert.cert dans client-cert.pem.
    3. Copiez certPrivateKey dans client-key.pem.

À ce stade, vous avez :

  • un certificat de serveur enregistré sous server-ca.pem ;
  • un certificat de clé publique client enregistré sous client-cert.pem ;
  • une clé privée client enregistrée sous client-key.pem.
Selon l'outil que vous utilisez pour vous connecter, ces trois éléments sont spécifiés de différentes manières. Par exemple, lors d'une connexion via le client de ligne de commande psql, ces trois fichiers correspondent aux valeurs des paramètres sslrootcert, sslcert et sslkey de la chaîne de connexion psql. Pour obtenir un exemple de connexion utilisant SSL/TLS et le client psql, consultez la section Se connecter avec le client psql.

Étapes suivantes