In questa pagina viene descritto come applicare la crittografia SSL/TLS per un'istanza per assicurare che tutte le connessioni siano crittografate. Puoi anche Scopri di più su come Cloud SQL utilizza i certificati SSL/TLS autogestiti per connetterti alle istanze Cloud SQL in modo sicuro.
Panoramica
Cloud SQL crea automaticamente un certificato server (server-ca.pem
) quando
per creare la tua istanza. Ti consigliamo di
applicare tutte le connessioni a SSL/TLS.
La modifica della configurazione della modalità SSL viene applicata solo alle nuove connessioni. Se applichi il protocollo SSL e l'istanza ha connessioni non criptate esistenti, le connessioni rimarranno connesse e non criptate. A chiudere le connessioni non criptate e applicare il protocollo SSL su tutte le connessioni, devi riavviare l'istanza.
Applica la crittografia SSL/TLS
Puoi utilizzare la modalità SSL per applicare la crittografia SSL nei modi seguenti:
Consenti entrambi i protocolli non SSL/non TLS e connessioni SSL/TLS. Il certificato client non è stato verificato per le connessioni SSL/TLS. Questa è l'impostazione predefinita.
Consenti solo connessioni criptate con SSL/TLS. Il certificato client non è verificati per le connessioni SSL.
- Consenti solo connessioni criptate con SSL/TLS e con certificati client.
Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per nell'istanza Cloud SQL, le connessioni SSL/TLS accettate, nonché connessioni non crittografate e non sicure. Se non hai bisogno di SSL/TLS per tutte le connessioni, sono ancora consentite. Per questo motivo, se accedi la tua istanza utilizzando un IP pubblico, consigliamo vivamente di applicare per tutte le connessioni.
Puoi connetterti direttamente alle istanze utilizzando i certificati SSL/TLS oppure puoi connetterti utilizzando il proxy di autenticazione Cloud SQL o connettori Cloud SQL. Se ti connetti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL, le connessioni vengono automaticamente criptati con SSL/TLS. Con il proxy di autenticazione Cloud SQL e i connettori Cloud SQL, le identità client e server vengono verificate automaticamente indipendentemente Impostazione modalità SSL.
Per attivare la richiesta di SSL/TLS, segui questi passaggi:
Console
-
Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.
- Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
- Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
- Seleziona la scheda Sicurezza.
- Seleziona una delle seguenti opzioni:
- Consenti il traffico di rete non criptato (opzione non consigliata)
- Consenti solo connessioni SSL. Questa opzione consente solo che utilizzano la crittografia SSL/TLS. I certificati non sono convalidato.
- Richiedi certificati client attendibili. Solo questa opzione consente connessioni da client che utilizzano un certificato client valido e sono criptati con SSL. Se un client o un utente si connette tramite l'autenticazione dei database IAM, deve usare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
gcloud
gcloud sql instances patch INSTANCE_NAME \ --ssl-mode=SSL_ENFORCEMENT_MODE
Sostituisci SSL_ENFORCEMENT_MODE con uno dei seguenti opzioni:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
consente le connessioni non SSL/non TLS e Connessioni SSL/TLS. Per le connessioni SSL, il certificato client non è verificati. Questo è il valore predefinito.ENCRYPTED_ONLY
consente solo connessioni criptate con SSL/TLS. Il certificato client non è verificato per le connessioni SSL.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
consente solo connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette tramite l'autenticazione dei database IAM, deve usare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
Per ulteriori informazioni, vedi
Impostazioni per Cloud SQL per PostgreSQL.
Terraform
Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform:
Applica le modifiche
Per applicare la configurazione Terraform a un progetto Google Cloud, completa i passaggi nella le sezioni seguenti.
Prepara Cloud Shell
- Avvia Cloud Shell.
-
Imposta il progetto Google Cloud predefinito dove vuoi applicare le configurazioni Terraform.
Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Le variabili di ambiente vengono sostituite se imposti valori espliciti in Terraform di configurazione del deployment.
Prepara la directory
Ogni file di configurazione Terraform deve avere una directory (inoltre chiamato modulo principale).
-
In Cloud Shell, crea una directory e un nuovo
all'interno di quella directory. Il nome del file deve contenere
.tf
, ad esempiomain.tf
. In questo tutorial, il file è denominatomain.tf
.mkdir DIRECTORY && cd DIRECTORY && touch main.tf
-
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.
Copia il codice campione nel nuovo oggetto
main.tf
.Facoltativamente, copia il codice da GitHub. Opzione consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.
- Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
- Salva le modifiche.
-
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
terraform init
Facoltativamente, per utilizzare la versione più recente del provider Google, includi
-upgrade
:terraform init -upgrade
Applica le modifiche
-
Rivedi la configurazione e verifica che le risorse che Terraform creerà o
che l'aggiornamento soddisfi le tue aspettative:
terraform plan
Apporta le correzioni necessarie alla configurazione.
-
Applica la configurazione Terraform eseguendo questo comando e inserendo
yes
alla richiesta:terraform apply
Attendi finché Terraform non visualizzi il messaggio "Applicazione completata!". .
- Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.
Elimina le modifiche
Per eliminare le modifiche:
- Per disabilitare la protezione dall'eliminazione, nel file di configurazione Terraform imposta la classe
Argomento
deletion_protection
perfalse
.deletion_protection = "false"
- Applica la configurazione Terraform aggiornata eseguendo il comando seguente
inserendo
yes
alla richiesta:terraform apply
-
Rimuovi le risorse applicate in precedenza con la tua configurazione Terraform eseguendo questo comando e inserendo
yes
al prompt:terraform destroy
REST v1
-
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID progetto
- SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
: consente le connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.ENCRYPTED_ONLY
: consente solo le connessioni criptate con SSL/TLS.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
: consente solo le connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve usare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
- INSTANCE_ID: l'ID istanza
Metodo HTTP e URL:
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID
Corpo JSON della richiesta:
{ "settings": { "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"} } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
REST v1beta4
-
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID progetto
- SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
ALLOW_UNENCRYPTED_AND_ENCRYPTED
: consente le connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.ENCRYPTED_ONLY
: consente solo le connessioni criptate con SSL/TLS.TRUSTED_CLIENT_CERTIFICATE_REQUIRED
: consente solo le connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve usare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
- INSTANCE_ID: l'ID istanza
Metodo HTTP e URL:
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
Corpo JSON della richiesta:
{ "settings": { "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"} } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
Certificati server
Cloud SQL crea automaticamente un certificato server quando crei in esecuzione in un'istanza Compute Engine. Finché il certificato del server è valido, non è necessario per gestire attivamente il certificato del server. Tuttavia, il certificato ha una data di scadenza di 10 anni; dopo questa data, non è più valido e i client non riescono a stabilire una connessione sicura l'istanza utilizzando il certificato. Ti viene inviata una notifica periodica per informarti che il certificato del server è in scadenza. Le notifiche vengono inviate al seguente numero di giorni prima della data di scadenza: 90, 30, 10, 2 e 1.
Puoi ottenere informazioni sul certificato del server, ad esempio quando è stato creato e quando scade oppure creane uno nuovo manualmente.
Console
-
Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.
- Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
- Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
- Seleziona la scheda Sicurezza.
- Vai alla sezione Gestisci certificati server.
Puoi vedere la data di scadenza del certificato del server nel .
gcloud
- Ottieni informazioni sul certificato di servizio:
gcloud beta sql ssl server-ca-certs list \ --instance=INSTANCE_NAME
- Crea un certificato del server:
gcloud beta sql ssl server-ca-certs create \ --instance=INSTANCE_NAME
- Scarica le informazioni del certificato in un file PEM locale:
gcloud beta sql ssl server-ca-certs list \ --format="value(cert)" \ --instance=INSTANCE_NAME > \ FILE_PATH/FILE_NAME.pem
- Aggiorna tutti i tuoi clienti per utilizzare le nuove informazioni
copiando il file scaricato nei computer host client, sostituendo il
server-ca.pem
file esistenti.
Terraform
Per fornire informazioni sul certificato del server come output, utilizza un'origine dati Terraform:
- Aggiungi quanto segue al file di configurazione Terraform:
data "google_sql_ca_certs" "ca_certs" { instance = google_sql_database_instance.default.name } locals { furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0] latest_ca_cert = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time] } output "db_latest_ca_cert" { description = "Latest CA certificate used by the primary database server" value = local.latest_ca_cert sensitive = true }
- Per creare il file
server-ca.pem
, esegui questo comando:terraform output db_latest_ca_cert > server-ca.pem
Certificati client
Crea un nuovo certificato client
Puoi creare fino a 10 certificati client per ogni istanza. Per creare il cliente
devi avere il ruolo IAM Cloud SQL Admin
.
Di seguito sono riportate alcune informazioni importanti sui certificati client:
- Se perdi la chiave privata di un certificato, devi crearne uno nuovo. la chiave privata non può da recuperare.
- Per impostazione predefinita, il certificato client ha una data di scadenza di 10 anni.
- Non riceverai notifiche quando i certificati client stanno per scadere.
- Per creare un certificato SSL, l'istanza Cloud SQL deve essere in esecuzione.
Console
-
Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.
- Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
- Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
- Seleziona la scheda Sicurezza.
- Fai clic su Crea certificato client.
- Nella finestra di dialogo Crea un certificato client, aggiungi un indirizzo univoco .
- Fai clic su Crea.
- Nella prima sezione del documento Nuovo certificato SSL creato
fai clic su Scarica client-key.pem per scaricare il file
a un file denominato
client-key.pem
. - Nella seconda sezione, fai clic su Scarica client-cert.pem per scaricare
il certificato client a un file denominato
client-cert.pem
. - Nella terza sezione, fai clic su Scarica server-ca.pem per scaricare
il certificato del server a un file denominato
server-ca.pem
. - Fai clic su Chiudi.
gcloud
Crea un certificato client utilizzando Comando
ssl client-certs create
:gcloud sql ssl client-certs create CERT_NAME client-key.pem \ --instance=INSTANCE_NAME
Recupera la chiave pubblica per il certificato appena creato e copialo nel file
client-cert.pem
conssl client-certs describe
:gcloud sql ssl client-certs describe CERT_NAME \ --instance=INSTANCE_NAME \ --format="value(cert)" > client-cert.pem
Copia il certificato del server nel file
server-ca.pem
utilizzandoinstances describe
:gcloud sql instances describe INSTANCE_NAME \ --format="value(serverCaCert.cert)" > server-ca.pem
Terraform
Per creare un certificato client, utilizza una risorsa Terraform:
REST v1
Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- project-id: l'ID progetto
- instance-id: l'ID istanza
- client-cert-name: il nome del certificato client
Metodo HTTP e URL:
POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts
Corpo JSON della richiesta:
{ "commonName" : "client-cert-name" }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
-
Copia tutti i contenuti del certificato tra virgolette (ma non il
le virgolette stesse) dalla risposta nei file locali, come segue:
- Copia
serverCaCert.cert
inserver-ca.pem
. - Copia
clientCert.cert
inclient-cert.pem
. - Copia
certPrivateKey
inclient-key.pem
.
- Copia
REST v1beta4
Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- project-id: l'ID progetto
- instance-id: l'ID istanza
- client-cert-name: il nome del certificato client
Metodo HTTP e URL:
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts
Corpo JSON della richiesta:
{ "commonName" : "client-cert-name" }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
-
Copia tutti i contenuti del certificato tra virgolette (ma non il
le virgolette stesse) dalla risposta nei file locali, come segue:
- Copia
serverCaCert.cert
inserver-ca.pem
. - Copia
clientCert.cert
inclient-cert.pem
. - Copia
certPrivateKey
inclient-key.pem
.
- Copia
A questo punto, si tratta di:
- Un certificato del server salvato come
server-ca.pem
. - Un certificato di chiave pubblica del client salvato come
client-cert.pem
. - Una chiave privata del client salvata come
client-key.pem
.
sslrootcert
,
Parametri sslcert
e sslkey
nel linguaggio psql
stringa di connessione. Per un esempio di connessione con un client psql e SSL/TLS, consulta
Connessione al client psql.
Passaggi successivi
- Gestisci certificati SSL/TLS sulla tua istanza Cloud SQL.
- Scopri di più su come viene gestita la crittografia in Google Cloud.
- Connetti all'istanza Cloud SQL utilizzando i certificati SSL/TLS.
- Scopri di più su come PostgreSQL utilizza i certificati SSL/TLS.