Configurazione dei certificati SSL/TLS

Questa pagina descrive come applicare la crittografia SSL/TLS per un'istanza per garantire in modo che tutte le connessioni siano criptate. Puoi anche approfondire in che modo Cloud SQL utilizza i certificati SSL/TLS con gestione indipendente per connettersi in modo sicuro alle istanze Cloud SQL.

Panoramica

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Ti consigliamo di obbligare tutte le connessioni a utilizzare SSL/TLS.

Per convalidare l'identità client/server utilizzando i certificati SSL/TLS, devi creare una e scarica i certificati sul tuo client PostgreSQL della macchina host.

Quando applichi il protocollo SSL per un'istanza, quest'ultima non richiede alcun riavvio. Tuttavia, le modifiche ai certificati SSL/TLS potrebbero comportare un riavvio automatico dell'istanza e possono comportare un tempo di riposo.

Una modifica alla configurazione della modalità SSL si applica solo alle nuove connessioni. Se imposti l'applicazione forzata di SSL e la tua istanza ha connessioni non criptate esistenti, le connessioni rimangono connesse e non criptate. A chiudere le connessioni non criptate e applicare il protocollo SSL su tutte le connessioni, devi riavviare l'istanza.

Applica la crittografia SSL/TLS

Puoi utilizzare l'impostazione Modalità SSL per applicare la crittografia SSL nei seguenti modi:

  • Consenti connessioni non SSL/non TLS e SSL/TLS. Il certificato client non è stato verificato per le connessioni SSL/TLS. Questa è l'impostazione predefinita.

  • Consenti solo connessioni criptate con SSL/TLS. Il certificato client non è verificati per le connessioni SSL.

  • Consenti solo connessioni criptate con SSL/TLS e con certificati client.

Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per nell'istanza Cloud SQL, le connessioni SSL/TLS accettate, nonché connessioni non crittografate e non sicure. Se non richiedi SSL/TLS per tutte le connessioni, le connessioni non criptate sono comunque consentite. Per questo motivo, se accedi la tua istanza utilizzando un IP pubblico, consigliamo vivamente di applicare per tutte le connessioni.

Puoi connetterti direttamente alle istanze utilizzando i certificati SSL/TLS oppure puoi connetterti utilizzando il proxy di autenticazione Cloud SQL o connettori Cloud SQL. Se ti connetti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL, le connessioni sono automaticamente criptati con SSL/TLS. Con il proxy di autenticazione Cloud SQL e i connettori Cloud SQL, le identità client e server vengono verificate automaticamente indipendentemente Impostazione modalità SSL.

Per attivare la richiesta di SSL/TLS, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Seleziona una delle seguenti opzioni:
    • Consenti il traffico di rete non criptato (opzione non consigliata)
    • Consenti solo connessioni SSL. Questa opzione consente solo che utilizzano la crittografia SSL/TLS. I certificati non sono convalidato.
    • Richiedi certificati client attendibili. Solo questa opzione consente connessioni da client che utilizzano un certificato client valido e sono criptati con SSL. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve utilizzare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE
  

Sostituisci SSL_ENFORCEMENT_MODE con una delle seguenti opzioni:

  • ALLOW_UNENCRYPTED_AND_ENCRYPTED consente le connessioni non SSL/non TLS e Connessioni SSL/TLS. Per le connessioni SSL, il certificato client non è verificati. Questo è il valore predefinito.
  • ENCRYPTED_ONLY consente solo connessioni criptate con SSL/TLS. Il certificato client non è verificato per le connessioni SSL.
  • TRUSTED_CLIENT_CERTIFICATE_REQUIRED consente solo connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve utilizzare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
  • Per saperne di più, consulta Impostazioni per Cloud SQL per PostgreSQL.

Terraform

Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform:

resource "google_sql_database_instance" "postgres_instance" {
  name             = "postgres-instance"
  region           = "asia-northeast1"
  database_version = "POSTGRES_14"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      ssl_mode = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve contenere .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade :

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o che l'aggiornamento soddisfi le tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply

    Attendi finché Terraform non visualizzi il messaggio "Applicazione completata!". per creare un nuovo messaggio email.

  3. Apri il tuo progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche, procedi nel seguente modo:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

REST v1

  1. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente le connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo le connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve usare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL:

    PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta:

    
    {
      "settings": {
        "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
      }
    }
    

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non è verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo le connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo le connessioni criptate con SSL/TLS e con certificati client validi. Se un client o un utente si connette utilizzando l'autenticazione del database IAM, deve utilizzare il proxy di autenticazione Cloud SQL o i connettori Cloud SQL per applicare la verifica dell'identità del client.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL:

    PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta:

    {
      "settings": {
        "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
      }
    }
    

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Certificati server

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Finché il certificato del server è valido, non è necessario gestire attivamente il certificato del server. Cloud SQL ti consente di scegliere tra due diversi gerarchie di autorità di certificazione (CA). La gerarchia CA selezionata diventa la modalità CA del server dell'istanza. Se utilizzi un'autorità di certificazione per istanza come modalità di CA del server per Ad esempio, i certificati del server hanno una data di scadenza di 10 anni. Se utilizzi una CA condivisa come modalità CA del server di la tua istanza (anteprima), il certificato del server ha una data di scadenza di un anno. Dopo la data di scadenza, il certificato del server non è più valido e i client non può più stabilire una connessione sicura alla tua istanza utilizzando quel certificato. Se un client è configurato per verificare l'autorità di certificazione o il nome host nel certificato del server, le connessioni del client alle istanze Cloud SQL con certificati del server scaduti non andranno a buon fine. Per evitare interruzioni delle connessioni client, gira il certificato del server prima della scadenza. Riceverai una notifica periodica che indica che il certificato del server sta per scadere. Le notifiche vengono inviate il seguente numero di giorni prima della data di scadenza: 90, 30, 10, 2 e 1.

Puoi ottenere informazioni sul certificato del server, ad esempio quando è stato creato e quando scade. Prima della data di scadenza, puoi crearne uno nuovo manualmente.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Vai alla sezione Gestisci certificati server.

    Puoi vedere la data di scadenza del certificato del server nel tabella.

gcloud

Per le istanze che utilizzano certificati server autofirmati (CA per istanza):

  1. Per ottenere informazioni sul certificato del server, utilizza il comando sql ssl server-ca-certs list:
    gcloud sql ssl server-ca-certs list \
    --instance=INSTANCE_NAME
  2. Per creare un certificato del server, utilizza il comando sql ssl server-ca-certs create:
    gcloud sql ssl server-ca-certs create \
    --instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale:
    gcloud sql ssl server-ca-certs list \
    --format="value(cert)" \
    --instance=INSTANCE_NAME > \
    FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i tuoi clienti per utilizzare le nuove informazioni copiando il file scaricato nei computer host client, sostituendo il server-ca.pem file esistenti.

Per le istanze che utilizzano certificati del server emessi da una CA condivisa (anteprima):

  1. Per ottenere informazioni sul certificato del server, utilizza la Comando beta sql ssl server-certs list:
    gcloud beta sql ssl server-certs list \
       --instance=INSTANCE_NAME
  2. Per creare un certificato del server, utilizza il comando beta sql ssl server-certs create:
    gcloud beta sql ssl server-certs create \
       --instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale:
    gcloud beta sql ssl server-certs list \
       --format="value(ca_cert.cert)" \
       --instance=INSTANCE_NAME > \
       FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i client in modo che utilizzino le nuove informazioni copiando il file scaricato sulle macchine host dei client, sostituendo i file server-ca.pem esistenti.

Terraform

Per fornire le informazioni sul certificato del server come output, utilizza un'origine dati Terraform:

  1. Aggiungi quanto segue al file di configurazione Terraform:
       data "google_sql_ca_certs" "ca_certs" {
         instance = google_sql_database_instance.default.name
       }
    
       locals {
         furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
         latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
       }
    
       output "db_latest_ca_cert" {
         description = "Latest CA certificate used by the primary database server"
         value       = local.latest_ca_cert
         sensitive   = true
       }
       
  2. Per creare il file server-ca.pem, esegui questo comando:
       terraform output db_latest_ca_cert > server-ca.pem
       

Certificati client

Crea un nuovo certificato client

Puoi creare fino a 10 certificati client per ogni istanza. Per creare i certificati client, devi disporre del ruolo IAM Cloud SQL Admin.

Di seguito sono riportate alcune informazioni importanti sui certificati client:

  • Se perdi la chiave privata di un certificato, devi crearne uno nuovo. la chiave privata non può da recuperare.
  • Per impostazione predefinita, il certificato client ha una data di scadenza di 10 anni.
  • Non ricevi una notifica quando i certificati client stanno per scadere.
  • L'istanza Cloud SQL deve essere in stato di esecuzione per creare un certificato SSL.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic su Crea certificato client.
  6. Nella finestra di dialogo Crea un certificato client, aggiungi un indirizzo univoco nome.
  7. Fai clic su Crea.
  8. Nella prima sezione del documento Nuovo certificato SSL creato fai clic su Scarica client-key.pem per scaricare il file a un file denominato client-key.pem.
  9. Nella seconda sezione, fai clic su Scarica client-cert.pem per scaricare il certificato client in un file denominato client-cert.pem.
  10. Nella terza sezione, fai clic su Scarica server-ca.pem per scaricare il certificato del server a un file denominato server-ca.pem.
  11. Fai clic su Chiudi.

gcloud

  1. Crea un certificato client utilizzando il comando ssl client-certs create:

    gcloud sql ssl client-certs create CERT_NAME client-key.pem \
    --instance=INSTANCE_NAME
  2. Recupera la chiave pubblica del certificato che hai appena creato e copiala nel file client-cert.pem con il comando ssl client-certs describe:

    gcloud sql ssl client-certs describe CERT_NAME \
    --instance=INSTANCE_NAME \
    --format="value(cert)" > client-cert.pem
  3. Copia il certificato del server nel file server-ca.pem utilizzando il comando instances describe:

    gcloud sql instances describe INSTANCE_NAME \
    --format="value(serverCaCert.cert)" > server-ca.pem

Terraform

Per creare un certificato client, utilizza una risorsa Terraform:

resource "google_sql_ssl_cert" "postgres_client_cert" {
  common_name = "postgres_common_name"
  instance    = google_sql_database_instance.postgres_instance.name
}

REST v1

  1. Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: il nome del certificato client

    Metodo HTTP e URL:

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta:

    {
      "commonName" : "client-cert-name"
    }
    

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutti i contenuti del certificato tra virgolette (ma non il le virgolette stesse) dalla risposta nei file locali, come segue:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

REST v1beta4

  1. Crea un certificato SSL/TLS assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: il nome del certificato client

    Metodo HTTP e URL:

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta:

    {
      "commonName" : "client-cert-name"
    }
    

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutti i contenuti del certificato tra virgolette (ma non il le virgolette stesse) dalla risposta nei file locali, come segue:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

A questo punto, hai:

  • Un certificato del server salvato come server-ca.pem.
  • Un certificato di chiave pubblica del client salvato come client-cert.pem.
  • Una chiave privata del client salvata come client-key.pem.
A seconda dello strumento che utilizzi per la connessione, questi tre elementi vengono specificati in modi diversi. Ad esempio, quando ti connetti usando il client a riga di comando psql, questi tre file sono i valori per sslrootcert, Parametri sslcert e sslkey nel linguaggio psql stringa di connessione. Per un esempio di connessione con un client psql e SSL/TLS, consulta Connessione al client psql.

Attiva la verifica dell'identità del server

Se selezioni CA condivise come la modalità CA del server di Cloud SQL istanza (anteprima), ti consigliamo anche di abilitare la verifica dell'identità del server. Le istanze che utilizzano una CA condivisa come modalità CA del server contengono il nome DNS dell'istanza nel campo SAN (Subject Alternative Name) del certificato del server. Puoi ottenere questo nome DNS utilizzando l'API instance lookup e utilizzando la risposta come nome host per la verifica dell'identità del server. Devi impostare la risoluzione DNS per il nome DNS.

Per attivare la verifica dell'identità del server:

  1. Per visualizzare informazioni di riepilogo su un'istanza Cloud SQL, incluso il nome DNS dell'istanza, utilizza il comando gcloud sql instances describe:

    gcloud sql instances describe INSTANCE_NAME \
      --project=PROJECT_ID

    Effettua le seguenti sostituzioni:

    • INSTANCE_NAME: il nome dell'istanza Cloud SQL
    • PROJECT_ID: l'ID o numero progetto del progetto Google Cloud che contiene l'istanza

    Nella risposta, verifica che venga visualizzato il nome DNS. Questo nome ha il seguente schema:

    INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.
    

    Ad esempio:

    1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.

    Puoi anche utilizzare il metodo connect.get dell'API Cloud SQL Admin per ottenere il nome DNS dell'istanza.

  2. Crea il record DNS in una zona DNS. Se ti connetti privatamente, Crea il record DNS in una zona DNS privata nella rete VPC (Virtual Private Cloud) corrispondente.

  3. Quando ti connetti all'istanza Cloud SQL per PostgreSQL, configura il nome DNS come nome host. Quindi, attiva la verifica dell'identità del server nel client.

    Ad esempio, quando utilizzi il client psql, specifica il flag sslmode=verify-full. Altri driver client PostgreSQL hanno flag di configurazione simili.

Passaggi successivi