Questa pagina descrive come utilizzare Secure Socket Layer (SSL), ora Transport Layer Security (TLS), dalla tua applicazione per criptare le connessioni alle istanze Cloud SQL.
Panoramica
Cloud SQL supporta la connessione a un'istanza utilizzando il protocollo SSL/TLS. Le connessioni SSL/TLS forniscono un livello di sicurezza criptando i dati in transito tra il client e il database nell'istanza Cloud SQL. Se vuoi, la connessione SSL/TLS può eseguire la verifica dell'identità del server convalidando il certificato del server installato nell'istanza Cloud SQL e la verifica dell'identità del client convalidando il certificato del client installato sul client.
Certificati server
Quando crei un'istanza, Cloud SQL crea e installa automaticamente un certificato del server firmato da un'autorità di certificazione (CA). Puoi scaricare il certificato CA sulla macchina host client e utilizzarlo per verificare l'identità della CA e del server Cloud SQL. Se vuoi, puoi scegliere il tipo di CA utilizzato da Cloud SQL per firmare il certificato del server.
Gerarchie delle autorità di certificazione (CA)
Questa sezione descrive i due tipi di autorità di certificazione (CA) del server che puoi scegliere per le tue istanze Cloud SQL. Sono disponibili due opzioni:
- CA per istanza: con questa opzione, una CA interna dedicata
a ogni istanza Cloud SQL firma il
certificato del server per quell'istanza.
Cloud SQL crea e gestisce queste CA. Per scegliere un CA per istanza,
specifica
GOOGLE_MANAGED_INTERNAL_CAper l'impostazioneserverCaMode(API Cloud SQL Admin) o il flag--server-ca-mode(interfaccia a riga di comando gcloud) quando crei l'istanza. Se lasci l'impostazione o l'indicatore non specificato, questa opzione è il valore predefinito per l'istanza. CA condivisa: con questa opzione viene utilizzata una gerarchia CA composta da una CA radice e da CA server subordinate. Le CA del server subordinate in una regione firmano i certificati del server e sono condivise tra le istanze della regione. Cloud SQL ospita e gestisce la CA radice e le CA del server subordinate su Google Cloud Certificate Authority Service (servizio CA). Cloud SQL gestice anche la rotazione delle CA radice e delle CA del server subordinate e fornisce link disponibili pubblicamente ai bundle di certificati CA da scaricare. Per scegliere la CA condivisa, specifica
GOOGLE_MANAGED_CAS_CAper l'impostazioneserverCaMode(API Cloud SQL Admin) o il flag--server-ca-mode(interfaccia a riga di comando gcloud) quando crei l'istanza.
Dopo aver creato un'istanza, puoi visualizzare la gerarchia CA configurata per un'istanza Cloud SQL utilizzando il comando gcloud sql instances describe.
Per ulteriori informazioni, vedi Visualizzare le informazioni sulle istanze.
La tabella seguente mette a confronto le due opzioni di gerarchia CA.
| Funzionalità | CA per istanza | CA condivisa |
|---|---|---|
| Struttura CA | CA separata per ogni istanza | CA radice e CA subordinate condivise tra le istanze nella stessa regione |
| Attributi crittografici | Chiave RSA a 2048 bit con algoritmo SHA256 | Elliptic Curve Digital Signature Algorithm (ECDSA) con chiave a 256 bit con algoritmo SHA384 |
| Periodo di validità dell'autorità di certificazione | 10 anni | 25 anni per la CA radice e 10 anni per le CA subordinate |
| Periodo di validità del certificato del server | 10 anni | 1 anno |
| Rotazione dell'autorità di certificazione avviata dall'utente? | Sì | No. La rotazione delle CA è gestita da Cloud SQL |
| Rotazione del certificato del server avviata dall'utente? | Sì | Sì |
| Trust anchor CA per le connessioni TLS | La CA univoca per istanza è il trust anchor per l'istanza corrispondente. | La CA radice e le CA subordinate sono le ancore di attendibilità per tutte le istanze in una determinata regione. |
| Verifica dell'identità del server | La verifica della CA verifica l'identità del server, poiché ogni istanza ha una CA univoca. | La verifica del nome host e della CA è necessaria per la verifica dell'identità del server, poiché le CA del server sono condivise tra le istanze. |
| Campo Subject Alternative Name (SAN) nei certificati del server | Il campo SAN contiene il nome host (nome DNS dell'istanza) solo per le istanze abilitate con Private Service Connect. Il nome host può essere utilizzato per la verifica dell'identità del server. Se ti connetti a un'istanza Cloud SQL utilizzando il nome DNS come nome host, devi configurare la risoluzione DNS. | Il campo SAN contiene il nome host (nome DNS dell'istanza) per tutti i tipi di istanze. Il nome host può essere utilizzato per la verifica dell'identità del server. Se ti connetti a un'istanza Cloud SQL utilizzando il nome DNS come nome host, devi configurare la risoluzione DNS. |
CA per istanza ospitata da Cloud SQL
Questa gerarchia CA è la configurazione predefinita della modalità CA del server.
Cloud SQL crea una nuova CA del server autofirmata per ogni
istanza quando la crei.
Per utilizzare questa impostazione, imposta serverCaMode su GOOGLE_MANAGED_INTERNAL_CA o lascia l'impostazione di configurazione non specificata quando crei l'istanza.
Il seguente diagramma mostra la gerarchia delle CA per istanza.
CA condivise ospitate da CA Service
Questa modalità CA del server è composta da una CA radice e da CA del server subordinate in ogni regione. Le CA del server subordinate rilasciano certificati server e sono condivise tra le istanze della regione. Cloud SQL gestisce la rotazione delle CA del server regionali condivise e fornisce link disponibili pubblicamente per scaricare i bundle di certificati CA.
Puoi configurare un'istanza in modo che utilizzi una gerarchia di CA del server in cui le CA di emissione sono condivise tra le istanze nella stessa regione. Per utilizzare questa impostazione, configura serverCaMode su GOOGLE_MANAGED_CAS_CA quando crei l'istanza.
Il seguente diagramma mostra la gerarchia delle CA condivise.
Come funziona la rotazione dei certificati del server
Cloud SQL offre modi per girare il certificato del server, in modo che il nuovo certificato possa essere sostituito senza problemi prima della scadenza del vecchio certificato.
Il comando di rotazione da utilizzare dipende dal fatto che tu stia utilizzando un certificato del server emesso da un'autorità di certificazione per istanza o un certificato del server emesso dall'autorità di certificazione condivisa.
Circa tre mesi prima della scadenza del certificato del server per un'istanza Cloud SQL, i proprietari del progetto ricevono un'email da Cloud SQL che indica che è iniziata la procedura di rotazione del certificato per l'istanza. L'email fornisce il nome dell'istanza e indica che Cloud SQL ha aggiunto un nuovo certificato del server al progetto. Il certificato del server esistente continuerà a funzionare normalmente. In pratica, l'istanza ha due certificati del server durante questo periodo.
Prima della scadenza del certificato attuale, scarica il nuovo file server-ca.pem,
che contiene le informazioni del certificato sia per il certificato attuale sia per quello nuovo. Aggiorna i client SQL Server in modo che utilizzino il nuovo
file copiandolo su tutte le macchine host client SQL Server, sostituendo
il file esistente.
Dopo aver aggiornato tutti i client SQL Server, invia un comando di rotazione (per l'autorità di certificazione per istanza) o un comando di rotazione (per l'autorità di certificazione condivisa) all'istanza Cloud SQL per eseguire la rotazione al nuovo certificato del server. Al termine dell'operazione, il vecchio certificato del server non viene più riconosciuto e può essere utilizzato solo il nuovo certificato del server.
Scadenza del certificato SSL
Per impostazione predefinita, le istanze Cloud SQL utilizzano l'impostazione predefinita GOOGLE_MANAGED_INTERNAL_CA come serverCaMode. I certificati SSL hanno una durata di 10 anni. Prima della scadenza di questi certificati, esegui la rotazione delle CA.
Per le istanze che utilizzano CA condivise
(serverCaMode è impostato su GOOGLE_MANAGED_CAS_CA),
il periodo di scadenza dei certificati del server è di 1 anno.
Prima della scadenza, esegui la rotazione dei certificati SSL. Il certificato dell'autorità di certificazione (CA) radice ha un periodo di scadenza di 25 anni, mentre il certificato della CA condivisa subordinata ha un periodo di scadenza di 10 anni.
Cloud SQL gestisce la loro rotazione.
Se un client è configurato per verificare l'autorità di certificazione o il nome host nel certificato del server, le connessioni del client alle istanze Cloud SQL con certificati del server scaduti non andranno a buon fine. Per evitare interruzioni delle connessioni client, gira il certificato del server prima della scadenza.
Indipendentemente dall'utilizzo della CA per istanza o della modalità del server CA condiviso, puoi reimpostare la configurazione SSL dell'istanza Cloud SQL in qualsiasi momento.
Passaggi successivi
Configura SSL/TLS sull'istanza Cloud SQL.
Scopri di più su come viene gestita la crittografia in Google Cloud.
- Scopri di più su come SQL Server utilizza le connessioni criptate.
- Gestisci SSL/TLS nell'istanza Cloud SQL.