Gestione dei certificati SSL/TLS

Questa pagina descrive come gestire i certificati dell'autorità di certificazione (CA) del client e del server.

Gestisci i certificati client

Utilizza le seguenti procedure per gestire i certificati client in Cloud SQL.

Recupera un certificato client

Puoi recuperare la parte della chiave pubblica di un certificato client. Tuttavia, non puoi recuperare la chiave privata. Se hai perso la chiave privata, devi creare un nuovo certificato.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. In Gestisci certificati client, fai clic sul nome di un certificato.
  6. Si apre la pagina Certificato client SSL che mostra il certificato client (client-cert.pem) con un link per scaricare il certificato.

gcloud

Recupera la chiave pubblica del certificato client con il comando ssl client-certs describe:

gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

REST v1

  1. Elenca i certificati sull'istanza per ottenere l'impronta del certificato che vuoi recuperare:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    Registra il campo sha1Fingerprint per il certificato che vuoi recuperare. Non includere le virgolette.

  2. Recupera il certificato:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • sha1FingerPrint: L'impronta SHA1 del certificato

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  3. Copia tutti i dati del certificato contenuti tra le virgolette in un file, ad esempio client-cert.pem. Non copiare le virgolette.

REST v1beta4

  1. Elenca i certificati sull'istanza per ottenere l'impronta del certificato che vuoi recuperare:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    Registra il campo sha1Fingerprint per il certificato che vuoi recuperare. Non includere le virgolette.

  2. Recupera il certificato:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • sha1FingerPrint: L'impronta SHA1 del certificato

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  3. Copia tutti i dati del certificato contenuti tra le virgolette in un file, ad esempio client-cert.pem. Non copiare le virgolette.

Elimina un certificato client

Quando elimini un certificato client, il server di database viene aggiornato e non deve essere riavviato.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. In Gestisci certificati client, trova il certificato che vuoi eliminare e fai clic su Elimina..
  6. Nel riquadro Elimina certificato client, fai clic su Ok.

gcloud

Elimina il certificato client utilizzando il comando ssl client-certs delete:

gcloud sql ssl client-certs delete CERT_NAME \
--instance=INSTANCE_NAME

REST v1

  1. Elenca i certificati sull'istanza per ottenere l'impronta del certificato che vuoi eliminare:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    Registra il campo sha1Fingerprint per il certificato che vuoi eliminare. Non includere le virgolette.

  2. Elimina il certificato:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • sha1FingerPrint: L'impronta SHA1 del certificato

    Metodo HTTP e URL: 

    DELETE https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Elenca i certificati sull'istanza per ottenere l'impronta del certificato che vuoi eliminare:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    Registra il campo sha1Fingerprint per il certificato che vuoi eliminare. Non includere le virgolette.

  2. Elimina il certificato:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • sha1FingerPrint: L'impronta SHA1 del certificato

    Metodo HTTP e URL: 

    DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Gestisci i certificati CA del server (CA per istanza)

Questa sezione descrive come gestire i certificati CA del server creati internamente da Cloud SQL. Questa è la modalità CA server predefinita in Cloud SQL. In questa gerarchia di autorità di certificazione, Cloud SQL crea una CA server per ogni istanza.

Ruota i certificati CA del server

Se hai ricevuto una notifica relativa alla scadenza dei tuoi certificati o vuoi avviare una rotazione, segui questi passaggi per completarla. Prima di iniziare la rotazione, devi avere una nuova CA server sull'istanza. Se è già stata creata una nuova CA server, puoi saltare il primo passaggio della procedura seguente.

  1. Crea una nuova CA server.
  2. Scarica le informazioni sul nuovo certificato CA del server.
  3. Aggiorna i client in modo che utilizzino le nuove informazioni del certificato CA del server.
  4. Completa la rotazione, che sposta il certificato attivo nello slot "precedente" e aggiorna il certificato appena aggiunto in modo che diventi il certificato attivo.

Console

Scarica il nuovo certificato CA del server, codificato come file PEM, nel tuo ambiente locale:

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic per espandere Gestisci certificati.
  6. Seleziona Ruota il certificato CA.

    Se non sono presenti certificati idonei, l'opzione di rotazione non è disponibile. Devi creare un nuovo certificato CA del server.

  7. Fai clic su Scarica certificati.

Aggiorna tutti i client PostgreSQL in modo che utilizzino le nuove informazioni copiando il file scaricato nelle macchine host client e sostituendo il file server-ca.pem esistente.

Dopo aver aggiornato i client, completa la rotazione:

  1. Torna alla scheda Sicurezza.
  2. Fai clic per espandere Gestisci certificati.
  3. Seleziona Ruota il certificato CA.
  4. Verifica che i client si connettano correttamente.

    5. Se alcuni client non si connettono utilizzando il certificato appena ruotato, puoi selezionare Rollback certificato CA per eseguire il rollback alla configurazione precedente.

gcloud

  1. Crea un certificato CA server: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE
  2. Scarica le informazioni del certificato in un file PEM locale: 
    gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  3. Aggiorna tutti i tuoi client in modo che utilizzino le nuove informazioni copiando il file scaricato nelle macchine host dei client e sostituendo i file server-ca.pem esistenti.
  4. Dopo aver aggiornato i client, completa la rotazione: 
    gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME
  5. Verifica che i client si connettano correttamente.

    6. Se alcuni client non si connettono utilizzando il certificato appena ruotato, puoi eseguire il rollback alla configurazione precedente.

REST v1

  1. Scarica i certificati CA del server:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Completa la rotazione:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Scarica i certificati CA del server:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Completa la rotazione:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Se ricevi un errore quando tenti di ruotare un certificato che indica No upcoming/previous Server CA Certificate exists, verifica di eseguire il comando su un'istanza che utilizza la gerarchia CA per istanza. Puoi visualizzare la gerarchia CA configurata per un'istanza Cloud SQL utilizzando il comando gcloud sql instances describe. Per saperne di più, vedi Visualizzare le informazioni sull'istanza.

Eseguire il rollback di un'operazione di rotazione del certificato

Dopo aver completato la rotazione di un certificato, tutti i client devono utilizzare il nuovo certificato per connettersi all'istanza Cloud SQL. Se i client non vengono aggiornati correttamente per utilizzare le nuove informazioni del certificato, non possono connettersi utilizzando SSL/TLS alla tua istanza. In questo caso, puoi rollbacke la configurazione precedente del certificato.

Un'operazione di rollback sposta il certificato attivo nello spazio "in arrivo" (sostituendo qualsiasi certificato "in arrivo"). Il certificato "precedente" diventa il certificato attivo, riportando la configurazione del certificato allo stato in cui si trovava prima del completamento della rotazione.

Per eseguire il rollback alla configurazione del certificato precedente:

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic per espandere Gestisci certificati.
  6. Seleziona Esegui il rollback del certificato CA.

    Se non sono presenti certificati idonei, l'opzione di rollback non è disponibile. In caso contrario, il rollback viene completato dopo pochi secondi.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Scarica i certificati CA del server:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia il campo sha1Fingerprint per la versione a cui vuoi eseguire il rollback.

    Cerca la versione con un valore createTime immediatamente precedente alla versione con il valore sha1Fingerprint mostrato come activeVersion.

  3. Esegui il rollback della rotazione:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Corpo JSON della richiesta: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Scarica i certificati CA del server:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia il campo sha1Fingerprint per la versione a cui vuoi eseguire il rollback.

    Cerca la versione con un valore createTime immediatamente precedente alla versione con il valore sha1Fingerprint mostrato come activeVersion.

  3. Esegui il rollback della rotazione:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Corpo JSON della richiesta: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Se ricevi un errore quando tenti di eseguire il rollback di una rotazione della CA certificato che indica No upcoming/previous Server CA Certificate exists, verifica che stai eseguendo il comando su un'istanza che utilizza la gerarchia CA per istanza. Puoi visualizzare la gerarchia CA configurata per un'istanza Cloud SQL utilizzando il comando gcloud sql instances describe. Per saperne di più, vedi Visualizzare le informazioni sull'istanza.

Avviare una rotazione

Non devi attendere l'email di Cloud SQL per avviare una rotazione. Puoi avviarne uno in qualsiasi momento. Quando avvii una rotazione, viene creato un nuovo certificato e inserito nello slot "In arrivo". Se al momento della richiesta è già presente un certificato nello spazio "In arrivo", questo viene eliminato. Può esserci un solo certificato in scadenza.

Per avviare una rotazione:

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic per espandere Gestisci certificati.
  6. Fai clic su Crea nuovo certificato CA.
  7. Seleziona Ruota il certificato CA.

    Se non sono presenti certificati idonei, l'opzione di rotazione non è disponibile.

  8. Completa la rotazione come descritto in Ruota i certificati CA del server.

gcloud

  1. Avvia la rotazione: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  2. Completa la rotazione come descritto in Ruota i certificati CA del server.

REST v1

  1. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Completa la rotazione come descritto in Ruota i certificati CA del server.

REST v1beta4

  1. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Completa la rotazione come descritto in Ruota i certificati CA del server.

Recuperare informazioni su un certificato CA del server

Puoi ottenere informazioni sul certificato CA del server, ad esempio la data di scadenza o il livello di crittografia che fornisce.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.

    In Gestisci i certificati CA del server, puoi visualizzare la data di scadenza del certificato CA del server nella tabella.

    Per visualizzare il tipo di certificato, utilizza il comando gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

Quando descrivi l'istanza, puoi visualizzare i dettagli del certificato CA del server:

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza

Metodo HTTP e URL: 

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

Quando descrivi l'istanza, puoi visualizzare i dettagli del certificato CA del server:

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • project-id: l'ID progetto
  • instance-id: l'ID istanza

Metodo HTTP e URL: 

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

Visualizzare il contenuto dei certificati CA

Puoi utilizzare openssl storeutl per visualizzare i contenuti dei certificati CA.

Quando esegui il comando sql ssl server-ca-certs list, potresti ottenere più certificati CA da operazioni precedenti correlate alla rotazione.

gcloud

  1. Esegui questo comando: 
    gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Sostituisci INSTANCE_NAME con il nome dell'istanza.

  2. Utilizza openssl per esaminare i contenuti dei certificati CA.
    3. openssl storeutl -noout -text temp_cert.pem

Visualizzare i contenuti di un certificato del server

Puoi utilizzare openssl s_client per visualizzare i contenuti dei certificati del server.

gcloud

Per visualizzare i contenuti del certificato del server, esegui questo comando:

openssl s_client -starttls postgres -connect INSTANCE_IP_ADDRESS:5432

Sostituisci INSTANCE_IP_ADDRESS con l'indirizzo IP dell'istanza.

Notifica di scadenza SSL del server esterno

  • Se il certificato CA del server esterno sta per scadere, ruota i certificati SSL, incluso il certificato CA del server nell'istanza on-premise. Questo passaggio dipende da come viene gestita l'istanza on-premise. I passaggi possono variare se, ad esempio, utilizzi un certificato CA server RDS, un certificato CA server Cloud SQL o un certificato CA server generico per il database.
  • Se il certificato client sta per scadere, devi generare un nuovo certificato e una nuova chiave. Ciò vale sia per i certificati SSL gestiti da Google Cloudsia per i certificati autofirmati.
  • Aggiorna l'istanza di rappresentazione dell'origine Cloud SQL con i nuovi certificati SSL.

Gestisci i certificati server (CA condivisa)

Questa sezione descrive come gestire i certificati del server sulle istanze che utilizzano CA condivise o CA gestite dal cliente.

Puoi attivare l'utilizzo di CA condivise come modalità CA server per la tua istanza specificando GOOGLE_MANAGED_CAS_CA per l'impostazione serverCaMode (API Cloud SQL Admin) o il flag --server-ca-mode (gcloud CLI) quando crei l'istanza.

Per utilizzare la CA gestita dal cliente come modalità CA server per l'istanza, devi specificare CUSTOMER_MANAGED_CAS_CA per l'impostazione serverCaMode (API Cloud SQL Admin) o il flag --server-ca-mode (gcloud CLI) quando crei l'istanza e devi disporre di un pool di CA e di una CA validi. Per saperne di più, vedi Utilizzare la CA gestita dal cliente.

Ruota i certificati server

Se hai ricevuto una notifica relativa alla scadenza dei certificati del server o vuoi avviare una rotazione, segui questi passaggi per completarla. Prima di iniziare la rotazione, deve essere creato un nuovo certificato server per la rotazione imminente. Se è già stato creato un nuovo certificato server per la rotazione imminente, puoi saltare il primo passaggio della procedura seguente.

Per ruotare il certificato del server sull'istanza, segui questi passaggi:

  1. Se hai bisogno di un nuovo certificato server, creane uno.

  2. Se i tuoi clienti si fidano già della CA radice, questo passaggio è facoltativo. Tuttavia, se devi aggiornare i tuoi client con le informazioni sulla CA del server, segui questi passaggi:

    1. Scarica le informazioni più recenti sulla CA del server.
    2. Aggiorna i client in modo che utilizzino le informazioni più recenti sulla CA del server.

  3. Completa la rotazione spostando il certificato attivo nello slot precedente e aggiornando il nuovo certificato in modo che diventi quello attivo.

Console

Scarica le informazioni sul certificato CA del server, codificate come file PEM, nel tuo ambiente locale:

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic per espandere Gestisci certificati.
  6. Verifica che l'opzione Ruota certificato server venga visualizzata come opzione disponibile, ma non selezionarla ancora.

    Se non sono presenti certificati idonei, l'opzione di rotazione non è disponibile. Devi creare un nuovo certificato server.

  7. Fai clic su Scarica certificati.

Aggiorna tutti i tuoi client PostgreSQL in modo che utilizzino le nuove informazioni copiando il file scaricato nelle macchine host client e sostituendo il file server-ca.pem esistente.

Dopo aver aggiornato i client, completa la rotazione:

  1. Torna alla scheda Sicurezza.
  2. Fai clic per espandere Gestisci certificati.
  3. Seleziona Ruota certificato.
  4. Nella finestra di dialogo Conferma rotazione del certificato, fai clic su Ruota.

  5. Verifica che i client si connettano correttamente.

    Se alcuni client non si connettono utilizzando il certificato appena ruotato, puoi selezionare Rollback certificato per eseguire il rollback alla configurazione precedente.

gcloud

  1. Per creare un certificato server, utilizza il seguente comando: 
    gcloud sql ssl server-certs create \
--instance=INSTANCE
    2. Sostituisci INSTANCE con il nome dell'istanza.
  2. Assicurati di utilizzare il bundle CA più recente. Se non utilizzi il bundle CA più recente, esegui il seguente comando per scaricare le informazioni CA del server più recenti per l'istanza in un file PEM locale: 
    gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem

    In alternativa, scarica i bundle CA dalla tabella dei bundle di certificati CA radice e regionali in questa pagina.

    Quindi, aggiorna tutti i client in modo che utilizzino le nuove informazioni sulla CA del server copiando il file scaricato nelle macchine host client e sostituendo i file server-ca.pem esistenti.

  3. Dopo aver aggiornato tutti i client (se sono necessari aggiornamenti), completa la rotazione: 
    gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME

  4. Verifica che i client si connettano correttamente.

    Se alcuni client non si connettono utilizzando il certificato del server appena ruotato, esegui il rollback alla configurazione precedente.

REST v1

  1. Crea un certificato server.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Se devi scaricare le informazioni sul certificato CA del server, puoi utilizzare il seguente comando.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  3. Completa la rotazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Crea un certificato server.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Se devi scaricare le informazioni sul certificato CA del server, puoi utilizzare il seguente comando.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  3. Completa la rotazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Eseguire il rollback di una rotazione del certificato

Dopo aver completato la rotazione del certificato del server, tutti i client devono utilizzare il nuovo certificato per connettersi all'istanza Cloud SQL. Se i client non vengono aggiornati correttamente per utilizzare le nuove informazioni del certificato, non possono connettersi utilizzando SSL/TLS alla tua istanza. In questo caso, puoi eseguire il rollback alla configurazione del certificato precedente.

Un'operazione di rollback sposta il certificato attivo nello slot "In arrivo", che sostituisce qualsiasi certificato "In arrivo". Il certificato "precedente" diventa il certificato attivo e ripristina la configurazione del certificato allo stato precedente al completamento della rotazione.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic per espandere Gestisci certificati.
  6. Seleziona Esegui il rollback del certificato del server.

    Se non sono presenti certificati idonei, l'opzione di rollback non è disponibile.

  7. Nella finestra di dialogo Conferma il rollback del certificato, seleziona Rollback.

    Il rollback potrebbe richiedere alcuni secondi.

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Elenca i certificati server.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia il campo sha1Fingerprint per la versione a cui vuoi eseguire il rollback.

    Cerca la versione con un valore createTime immediatamente precedente alla versione con il valore sha1Fingerprint mostrato come activeVersion.

  3. Eseguire il rollback della rotazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corpo JSON della richiesta: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Elenca i certificati server.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia il campo sha1Fingerprint per la versione a cui vuoi eseguire il rollback.

    Cerca la versione con un valore createTime immediatamente precedente alla versione con il valore sha1Fingerprint mostrato come activeVersion.

  3. Eseguire il rollback della rotazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Corpo JSON della richiesta: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Visualizzare il contenuto dei certificati CA

Puoi utilizzare l'utilità openssl storeutl per visualizzare i contenuti dei certificati CA.

Quando esegui il comando sql ssl server-certs list, ottieni sempre più certificati CA a causa della catena di attendibilità. Potresti anche ricevere più certificati CA da operazioni precedenti correlate alla rotazione.

gcloud

  1. Esegui questo comando: 
    gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Sostituisci INSTANCE_NAME con il nome dell'istanza.

  2. Utilizza openssl per esaminare i contenuti dei certificati CA.
    3. openssl storeutl -noout -text temp_cert.pem

Visualizzare i contenuti di un certificato del server

Puoi utilizzare le utilità openssl e il comando sql ssl server-certs list per visualizzare i contenuti di un certificato del server.

Quando esegui il comando gcloud CLI, ottieni sempre più certificati CA a causa della catena di attendibilità. Potresti anche ricevere più certificati CA da operazioni precedenti correlate alla rotazione.

gcloud

Utilizzo solo di openssl s_client:

openssl s_client -starttls postgres -connect INSTANCE_IP_ADDRESS:5432

Sostituisci INSTANCE_IP_ADDRESS con l'indirizzo IP dell'istanza.

Utilizzo di gcloud CLI e openssl storeutl:

  1. Esegui questo comando: 
    gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(ssl_cert.cert)' > temp_cert.pem

    Sostituisci INSTANCE_NAME con il nome dell'istanza.

  2. Utilizza openssl per esaminare i contenuti dei certificati del server.
    3. openssl storeutl -noout -text temp_cert.pem

Scarica i bundle di certificati CA radice e regionale per una CA condivisa

Se utilizzi una configurazione CA condivisa gestita da Google, puoi scaricare i bundle di certificati CA radice e regionali dalla tabella seguente.

Questi bundle di certificati non si applicano alle istanze che utilizzano le opzioni CA per istanza o gestita dal cliente.

Nome regione Località Bundle di certificati
Global
CA per tutte le regioni Tutte le località global.pem
Asia
asia-east1 Taiwan asia-east1.pem
asia-east2 Hong Kong asia-east2.pem
asia-northeast1 Tokyo asia-northeast1.pem
asia-northeast2 Osaka asia-northeast2.pem
asia-northeast3 Seul asia-northeast3.pem
asia-south1 Mumbai asia-south1.pem
asia-south2 Delhi asia-south2.pem
asia-southeast1 Singapore asia-southeast1.pem
asia-southeast2 Giacarta asia-southeast2.pem
Africa
africa-south1 Johannesburg africa-south1.pem
Australia
australia-southeast1 Sydney australia-southeast1.pem
australia-southeast2 Melbourne australia-southeast2.pem
Europa
europe-central2 Varsavia europe-central2.pem
europe-north1 Finlandia europe-north1.pem
europe-north2 Stoccolma europe-north2.pem
europe-southwest1 Madrid europe-southwest1.pem
europe-west1 Belgio europe-west1.pem
europe-west2 Londra europe-west2.pem
europe-west3 Francoforte europe-west3.pem
europe-west4 Paesi Bassi europe-west4.pem
europe-west6 Zurigo europe-west6.pem
europe-west8 Milano europe-west8.pem
europe-west9 Parigi europe-west9.pem
europe-west10 Berlino europe-west10.pem
europe-west12 Torino europe-west12.pem
Medio Oriente
me-central1 Doha me-central1.pem
me-central2 Dammam me-central2.pem
me-west1 Tel Aviv me-west1.pem
Nord America
northamerica-northeast1 Montréal northamerica-northeast1.pem
northamerica-northeast2 Toronto northamerica-northeast2.pem
northamerica-south1 Messico northamerica-south1.pem
us-central1 Iowa us-central1.pem
us-east1 Carolina del Sud us-east1.pem
us-east4 Virginia del Nord us-east4.pem
us-east5 Columbus us-east5.pem
us-south1 Dallas us-south1.pem
us-west1 Oregon us-west1.pem
us-west2 Los Angeles us-west2.pem
us-west3 Salt Lake City us-west3.pem
us-west4 Las Vegas us-west4.pem
Sud America
southamerica-east1 San Paolo southamerica-east1.pem
southamerica-west1 Santiago southamerica-west1.pem

Reimposta la configurazione SSL/TLS

Puoi reimpostare completamente la configurazione SSL/TLS.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Connections (Connessioni) dal menu di navigazione SQL.
  4. Vai alla sezione Reimposta configurazione SSL.
  5. Fai clic su Reimposta configurazione SSL.

gcloud

  1. Aggiorna il certificato:

    gcloud sql instances reset-ssl-config INSTANCE_NAME
  2. Crea nuovi certificati client.

REST v1beta4

  1. Aggiorna il certificato:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Crea nuovi certificati client.

Passaggi successivi