Autorizar con certificados SSL/TLS

En esta página se describe cómo Cloud SQL usa certificados de capa de conexión segura (SSL)/capa de transporte (TLS) autoadministrados para conectarse de forma segura a las instancias de Cloud SQL.

Descripción general

Cloud SQL admite la conexión a una instancia mediante el protocolo de seguridad de la capa de transporte (SSL/TLS). Por lo general, se autentican los datos en tránsito dentro de un límite físico controlado por Google o en su nombre, pero puede que no se encripten según la configuración predeterminada. Si te conectas a una instancia mediante su dirección IP pública, debes aplicar certificados SSL/TLS para que los datos estén protegidos durante la transmisión. SSL/TLS es el protocolo estándar para la encriptación de datos que se envían a través de Internet. Si los datos no están encriptados, cualquier persona puede examinar los paquetes y leer información confidencial.

Certificados SSL/TLS

En las conexiones SSL, es obligatorio contar con un certificado de autoridad certificada (CA) de servidor. Cloud SQL crea un certificado de servidor de forma automática cuando se crea la instancia. Siempre que el certificado de servidor sea válido, no es necesario que lo administres de forma activa. Sin embargo, el certificado tiene una fecha de vencimiento de 10 años. Después de esa fecha, deja de ser válido, y los clientes no pueden establecer una conexión segura con la instancia mediante él. También puedes crear un certificado nuevo de forma manual.

Cómo funciona la rotación del certificado de servidor

Cloud SQL proporciona una forma de rotar el certificado de servidor para que un certificado nuevo se pueda intercambiar sin problemas antes del vencimiento del certificado anterior.

Alrededor de tres meses antes de que el certificado de servidor de una instancia de Cloud SQL se venza, los propietarios del proyecto reciben un correo electrónico de Cloud SQL en el que se indica que comenzó el proceso de rotación de certificados en esa instancia. En el correo electrónico, se proporciona el nombre de la instancia y se indica que Cloud SQL agregó un nuevo certificado de servidor al proyecto. El certificado de servidor existente seguirá funcionando con normalidad. De hecho, la instancia tiene dos certificados de servidor durante este período.

Antes de que venza el certificado actual, descarga el archivo server-ca.pem nuevo, que contiene la información del certificado de servidor actual y del nuevo. Actualiza tus clientes de SQL Server a fin de que usen el archivo nuevo. Para ello, copia el archivo en todas tus máquinas anfitrionas de clientes de SQL Server y reemplaza el archivo existente.

Después de actualizar todos los clientes de SQL Server, envía un comando a la instancia de Cloud SQL para rotar al nuevo certificado de servidor. Una vez hecho esto, ya no se reconoce el certificado de servidor anterior y solo se puede usar el nuevo.

Aplica la encriptación SSL/TLS

La aplicación de SSL garantiza que todas las conexiones estén encriptadas.

Usa redes autorizadas

Si la instancia de Cloud SQL usa una dirección IP pública, debes agregar las direcciones IP de los clientes de SQL Server como redes autorizadas cuando configures SSL/TLS.

En este caso, los clientes de SQL Server solo están autorizados para conectarse si sus direcciones IP están agregadas a esta lista. Las direcciones IP pueden limitarse a un solo extremo o consistir en un rango en formato CIDR. Por ejemplo, 10.50.51.310.50.51.0/26.

Vencimiento del certificado SSL

Los certificados SSL asociados con instancias de Cloud SQL tienen un período de vencimiento de 10 años. Cuando se vence un certificado, debes realizar la rotación de certificados de SSL. También puedes restablecer la configuración de SSL de la instancia de Cloud SQL en cualquier momento.

Próximos pasos