Configurar certificados SSL/TLS

MySQL | PostgreSQL | SQL Server

En esta página se describe cómo configurar una instancia para usar SSL/TLS. También puedes obtener más información sobre cómo Cloud SQL usa certificados SSL/TLS autoadministrados para conectarse de forma segura a las instancias de Cloud SQL.

Descripción general

Cloud SQL crea un certificado de servidor (server-ca.pem) automáticamente cuando se crea la instancia. Te recomendamos aplicar todas las conexiones para que usen SSL/TLS.

Para validar la identidad del cliente o servidor con certificados SSL/TLS, debes crear un certificado de cliente y descargar los certificados en tu máquina anfitrión de cliente PostgreSQL.

Cuando aplicas SSL a una instancia, esta no requiere reiniciarse. Sin embargo, los cambios en los certificados SSL/TLS pueden provocar un reinicio automático de la instancia y pueden generar un tiempo de inactividad.

Un cambio en la configuración del modo SSL solo se aplica a las conexiones nuevas. Si aplicas SSL y tu instancia tiene conexiones sin encriptar existentes, las conexiones permanecerán conectadas y sin encriptar. Para cerrar las conexiones sin encriptar y aplicar SSL en todas las conexiones, debes reiniciar tu instancia.

Aplica la encriptación SSL/TLS

Puedes usar la configuración de modo SSL para aplicar la encriptación SSL de las siguientes maneras:

Permite conexiones no SSL/no TLS y SSL/TLS. El certificado de cliente no está verificado para las conexiones SSL/TLS. Esta es la opción predeterminada.
Solo permite conexiones encriptadas con SSL/TLS. El certificado de cliente no está verificado para las conexiones SSL.

Solo permite conexiones encriptadas con SSL/TLS y con certificados de cliente válidos.

Si seleccionas Permitir conexiones no SSL/TLS y SSL/TLS para la instancia de Cloud SQL, se aceptarán conexiones SSL/TLS, así como conexiones no encriptadas y no seguras. Si no necesitas SSL/TLS para todas las conexiones, se permiten las conexiones sin encriptar. Por este motivo, si accedes a la instancia usando una IP pública, te recomendamos que apliques SSL para todas las conexiones.

Puedes conectarte directamente a las instancias a través de certificados SSL/TLS o con el proxy de autenticación de Cloud SQL o los conectores de Cloud SQL. Si te conectas a través del proxy de autenticación de Cloud SQL o los conectores de Cloud SQL, las conexiones se encriptarán de forma automática con SSL/TLS. Con el proxy de autenticación de Cloud SQL y los conectores de Cloud SQL, las identidades del cliente y del servidor también se verifican de forma automática, sin importar la configuración del modo SSL.

Para habilitar la aplicación forzosa de SSL/TLS, haz lo siguiente:

Consola

En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

Ir a Instancias de Cloud SQL
Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
Haz clic en Conexiones en el Menú de navegación de SQL.
Selecciona la pestaña Seguridad.
Selecciona una de las siguientes opciones:
- Permitir el tráfico de red sin encriptar (no recomendado)
- ¿Solo permitir conexiones SSL? Esta opción solo permite conexiones a través de la encriptación SSL/TLS. Los certificados no se validan.
- Exigir certificados de cliente de confianza Esta opción solo permite conexiones de clientes que usan un certificado de cliente válido y se encriptan con SSL. Si un cliente o un usuario se conecta a través de la autenticación de bases de datos de IAM, debe usar el proxy de autenticación de Cloud SQL o los conectores de Cloud SQL para aplicar la verificación de identidad del cliente.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

Reemplaza SSL_ENFORCEMENT_MODE por una de las siguientes opciones:

ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS. Para las conexiones SSL, el certificado de cliente no está verificado. Este es el valor predeterminado.
ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS. El certificado de cliente no está verificado para las conexiones SSL.
TRUSTED_CLIENT_CERTIFICATE_REQUIRED: solo permite conexiones encriptadas con SSL/TLS y con certificados de cliente válidos. Si un cliente o un usuario se conecta a través de la autenticación de bases de datos de IAM, debe usar el proxy de autenticación de Cloud SQL o los conectores de Cloud SQL para aplicar la verificación de identidad del cliente.

Configuración de Cloud SQL para PostgreSQL

Terraform

Para aplicar la encriptación SSL/TLS, usa un recurso de Terraform:

resource "google_sql_database_instance" "postgres_instance" {
  name             = "postgres-instance"
  region           = "asia-northeast1"
  database_version = "POSTGRES_14"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      require_ssl = "true"
      ssl_mode    = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Aplica los cambios

Para aplicar tu configuración de Terraform en un proyecto de Google Cloud, completa los pasos de las siguientes secciones.

Prepara Cloud Shell

Inicia Cloud Shell
Establece el proyecto de Google Cloud predeterminado en el que deseas aplicar tus configuraciones de Terraform.

Solo necesitas ejecutar este comando una vez por proyecto y puedes ejecutarlo en cualquier directorio.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Las variables de entorno se anulan si configuras valores explícitos en el archivo de configuración de Terraform.

Prepara el directorio

Cada archivo de configuración de Terraform debe tener su propio directorio (también llamado módulo raíz).

En Cloud Shell, crea un directorio y un archivo nuevo dentro de ese directorio. El nombre del archivo debe tener la extensión .tf, por ejemplo, main.tf. En este instructivo, el archivo se denomina main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Si sigues un instructivo, puedes copiar el código de muestra en cada sección o paso.

Copia el código de muestra en el main.tf recién creado.

De manera opcional, copia el código de GitHub. Esto se recomienda cuando el fragmento de Terraform es parte de una solución de extremo a extremo.
Revisa y modifica los parámetros de muestra que se aplicarán a tu entorno.
Guarda los cambios.
Inicialice Terraform. Solo debes hacerlo una vez por directorio.
```
terraform init
```
De manera opcional, incluye la opción -upgrade para usar la última versión del proveedor de Google:
```
terraform init -upgrade
```

Aplica los cambios

Revisa la configuración y verifica que los recursos que creará o actualizará Terraform coincidan con tus expectativas:
```
terraform plan
```
Corrige la configuración según sea necesario.
Para aplicar la configuración de Terraform, ejecuta el siguiente comando y, luego, escribe yes cuando se te solicite:
```
terraform apply
```
Espera hasta que Terraform muestre el mensaje “¡Aplicación completa!”.
Abre tu proyecto de Google Cloud para ver los resultados. En la consola de Google Cloud, navega a tus recursos en la IU para asegurarte de que Terraform los haya creado o actualizado.

Borra los cambios

Para borrar tus cambios, haz lo siguiente:

Para inhabilitar la protección contra la eliminación, en tu archivo de configuración de Terraform, establece el argumento deletion_protection en false.
```
deletion_protection =  "false"
```
Para aplicar la configuración actualizada de Terraform, ejecuta el siguiente comando y, luego, ingresa yes cuando se te solicite:
```
terraform apply
```

Quita los recursos que se aplicaron antes con tu configuración de Terraform a través de la ejecución del siguiente comando y, luego, ingresa yes cuando se te solicite:
```
terraform destroy
```

REST v1

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- PROJECT_ID: el ID del proyecto
- SSL_ENFORCEMENT_MODE: Usa una de las siguientes opciones:
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS. Para las conexiones SSL, el certificado de cliente no está verificado. Este es el valor predeterminado.
  - ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS.
  - TRUSTED_CLIENT_CERTIFICATE_REQUIRED: solo permite conexiones encriptadas con SSL/TLS y con certificados de cliente válidos. Si un cliente o un usuario se conecta a través de la autenticación de bases de datos de IAM, debe usar el proxy de autenticación de Cloud SQL o los conectores de Cloud SQL para aplicar la verificación de identidad del cliente.
- INSTANCE_ID: El ID de la instancia
Método HTTP y URL:
```
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID
```
Cuerpo JSON de la solicitud:
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
Respuesta
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

REST v1beta4

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- PROJECT_ID: el ID del proyecto
- SSL_ENFORCEMENT_MODE: Usa una de las siguientes opciones:
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS. Para las conexiones SSL, el certificado de cliente no está verificado. Este es el valor predeterminado.
  - ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS.
  - TRUSTED_CLIENT_CERTIFICATE_REQUIRED: solo permite conexiones encriptadas con SSL/TLS y con certificados de cliente válidos. Si un cliente o un usuario se conecta a través de la autenticación de bases de datos de IAM, debe usar el proxy de autenticación de Cloud SQL o los conectores de Cloud SQL para aplicar la verificación de identidad del cliente.
- INSTANCE_ID: El ID de la instancia
Método HTTP y URL:
```
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
```
Cuerpo JSON de la solicitud:
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
Respuesta
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

Certificados de servidor

Cloud SQL crea un certificado de servidor de forma automática cuando se crea la instancia. Siempre que el certificado del servidor sea válido, no es necesario que lo administres de forma activa. Sin embargo, el certificado tiene una fecha de vencimiento de 10 años. Después de esa fecha, ya no será válido, y los clientes no podrán establecer una conexión segura a la instancia mediante ese certificado. Se te notificará de forma periódica que el certificado del servidor está por vencer. Las notificaciones se envían la siguiente cantidad de días antes de la fecha de vencimiento: 90, 30, 10, 2 y 1.

Puedes obtener información sobre tu certificado de servidor, como la fecha de creación y su vencimiento, o crear uno nuevo de forma manual.

Console

En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

Ir a Instancias de Cloud SQL
Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
Haz clic en Conexiones en el Menú de navegación de SQL.
Selecciona la pestaña Seguridad.
Ve a la sección Administrar certificados de servidor.
Puedes ver la fecha de vencimiento de tu certificado de servidor en la tabla.

gcloud

Obtén información sobre el certificado de servicio:

gcloud beta sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

Crea un certificado de servidor:

gcloud beta sql ssl server-ca-certs create \
--instance=INSTANCE_NAME

Descarga la información del certificado a un archivo PEM local:

gcloud beta sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

Actualiza todos los clientes de MySQL a fin de usar la información nueva. Para ello, copia el archivo descargado en las máquinas anfitrionas de cliente y reemplaza los archivosserver-ca.pem existentes.

Terraform

Para proporcionar información del certificado del servidor como resultado, usa una fuente de datos de Terraform:

Agrega lo siguiente al archivo de configuración de Terraform:

   data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }

Para crear el archivo server-ca.pem, ejecuta el siguiente comando:
```
   terraform output db_latest_ca_cert > server-ca.pem
   
```

Certificados de clientes

Crea un nuevo certificado de cliente

Puedes crear hasta 10 certificados de cliente por instancia. Para crear certificados de cliente, debes tener el rol de IAM Cloud SQL Admin.

A continuación, se indican algunos aspectos importantes que debes conocer sobre los certificados de cliente:

Si pierdes la clave privada de un certificado, debes crear una nueva; la clave privada no se puede recuperar.
De forma predeterminada, el certificado de cliente tiene una fecha de vencimiento de 10 años.
No recibes notificaciones cuando los certificados de cliente se están acercando al vencimiento.
La instancia de Cloud SQL debe estar en estado de ejecución para crear un certificado SSL.

Consola

En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

Ir a Instancias de Cloud SQL
Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
Haz clic en Conexiones en el Menú de navegación de SQL.
Selecciona la pestaña Seguridad.
Haz clic en Crear certificado de cliente.
En el cuadro de diálogo Crear un certificado de cliente, agrega un nombre único.
Haz clic en Crear.
En la primera sección del cuadro de diálogo Certificado SSL nuevo, haz clic en Descargar client-key.pem para descargar la clave privada en un archivo llamado client-key.pem.
Importante: Almacena esta clave privada de forma segura. Si la pierdes, tendrás que crear un certificado de cliente nuevo.
En la segunda sección, haz clic en Descargar client-cert.pem para descargar el certificado de cliente en un archivo llamado client-cert.pem.
En la tercera sección, haz clic en Descargar server-ca.pem para descargar el certificado de servidor en un archivo llamado server-ca.pem.
Haz clic en Cerrar.

gcloud

Crea un certificado de cliente mediante el comando ssl client-certs create:
```
gcloud sql ssl client-certs create CERT_NAME client-key.pem \
--instance=INSTANCE_NAME
```
Importante: Almacena esta clave privada de forma segura. Si la pierdes, tendrás que crear un certificado de cliente nuevo.
Recupera la clave pública del certificado que acabas de crear y cópiala en el archivo client-cert.pem con el comando ssl client-certs describe:
```
gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem
```

Copia el certificado de servidor en el archivo server-ca.pem con el comando instances describe:

gcloud sql instances describe INSTANCE_NAME \
--format="value(serverCaCert.cert)" > server-ca.pem

Terraform

Para crear un certificado de cliente, usa un recurso de Terraform:

resource "google_sql_ssl_cert" "postgres_client_cert" {
  common_name = "postgres_common_name"
  instance    = google_sql_database_instance.postgres_instance.name
}

REST v1

Crea un certificado SSL/TLS y asígnale un nombre único para esta instancia:

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

project-id: el ID del proyecto
instance-id: El ID de la instancia
client-cert-name: El nombre del certificado de cliente

Método HTTP y URL:

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

Cuerpo JSON de la solicitud:

{
  "commonName" : "client-cert-name"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Respuesta

{
  "kind": "sql#sslCertsInsert",
  "operation": {
    "kind": "sql#operation",
    "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
    "status": "PENDING",
    "user": "user@example.com",
    "operationType": "UPDATE",
    "name": "operation-id",
    "targetId": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
    "targetProject": "doc-test-01",
    "insertTime": "2020-02-13T00:11:20.677Z"
  },
  "serverCaCert": {
    "kind": "sql#sslCert",
    "certSerialNumber": "server-cert-serial-number",
    "cert": "server-cert-value",
    "commonName": "server-cert-name,
    "sha1Fingerprint": "server-cert-sha1Fingerprint",
    "instance": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/operation-id",
    "createTime": "2019-11-25T20:12:06.764Z",
    "expirationTime": "2029-11-22T20:13:06.764Z"
  },
  "clientCert": {
    "certInfo": {
      "kind": "sql#sslCert",
      "certSerialNumber": "client-cert-serial-number-2",
      "cert": "client-cert-value",
      "commonName": "client-cert-name",
      "sha1Fingerprint": "client-cert-sha1Fingerprint-2",
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/operation-id",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    },
    "certPrivateKey": "private-key-value"
  }
}

Copia todo el contenido del certificado que está entre comillas en la respuesta (pero no copies las comillas) en los archivos locales, como se indica a continuación:
1. Copia serverCaCert.cert en server-ca.pem.
2. Copia clientCert.cert en client-cert.pem.
3. Copia certPrivateKey en client-key.pem.
Importante: Almacena esta clave privada de forma segura. Si la pierdes, tendrás que crear un certificado de cliente nuevo.

REST v1beta4

Crea un certificado SSL/TLS y asígnale un nombre único para esta instancia:

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

project-id: el ID del proyecto
instance-id: El ID de la instancia
client-cert-name: El nombre del certificado de cliente

Método HTTP y URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

Cuerpo JSON de la solicitud:

{
  "commonName" : "client-cert-name"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Respuesta

{
  "kind": "sql#sslCertsInsert",
  "operation": {
    "kind": "sql#operation",
    "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
    "status": "PENDING",
    "user": "user@example.com",
    "operationType": "UPDATE",
    "name": "operation-id",
    "targetId": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
    "targetProject": "doc-test-01",
    "insertTime": "2020-02-13T00:11:20.677Z"
  },
  "serverCaCert": {
    "kind": "sql#sslCert",
    "certSerialNumber": "server-cert-serial-number",
    "cert": "server-cert-value",
    "commonName": "server-cert-name,
    "sha1Fingerprint": "server-cert-sha1Fingerprint",
    "instance": "instance-id",
    "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/operation-id",
    "createTime": "2019-11-25T20:12:06.764Z",
    "expirationTime": "2029-11-22T20:13:06.764Z"
  },
  "clientCert": {
    "certInfo": {
      "kind": "sql#sslCert",
      "certSerialNumber": "client-cert-serial-number-2",
      "cert": "client-cert-value",
      "commonName": "client-cert-name",
      "sha1Fingerprint": "client-cert-sha1Fingerprint-2",
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/operation-id",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    },
    "certPrivateKey": "private-key-value"
  }
}

Copia todo el contenido del certificado que está entre comillas en la respuesta (pero no copies las comillas) en los archivos locales, como se indica a continuación:
1. Copia serverCaCert.cert en server-ca.pem.
2. Copia clientCert.cert en client-cert.pem.
3. Copia certPrivateKey en client-key.pem.
Importante: Almacena esta clave privada de forma segura. Si la pierdes, tendrás que crear un certificado de cliente nuevo.

En este punto tendrás los siguientes elementos:

Un certificado de servidor guardado como server-ca.pem
Un certificado de clave pública de cliente guardado como client-cert.pem
Una clave privada de cliente guardada como client-key.pem

Según la herramienta que uses para conectarte, estos tres elementos tendrán especificaciones diferentes. Por ejemplo, cuando te conectas con el cliente de la línea de comandos de psql, estos tres archivos son los valores para los parámetros sslrootcert, sslcert y sslkey en la string de conexión de psql. Si deseas ver un ejemplo de conexión mediante un cliente psql y SSL/TLS, consulta Conéctate con un cliente psql.

¿Qué sigue?

Administra certificados SSL/TLS en la instancia de Cloud SQL.
Obtén más información sobre cómo se maneja la encriptación en Google Cloud.
Conéctate a la instancia de Cloud SQL mediante certificados SSL/TLS.
Obtén más información sobre cómo PostgreSQL usa certificados SSL/TLS.