Mit SSL-/TLS-Zertifikaten autorisieren

Auf dieser Seite wird beschrieben, wie Cloud SQL selbstverwaltete SSL/TLS-Zertifikate verwendet, um eine sichere Verbindung zu Cloud SQL-Instanzen herzustellen.

Übersicht

Cloud SQL unterstützt den Verbindungsaufbau zu einer Instanz mit dem SSL/TLS-Protokoll (Transport Layer Security). Daten, die innerhalb einer physischen Grenze übertragen werden, die von Google oder im Auftrag von Google kontrolliert wird, werden in der Regel zwar authentifiziert, aber nicht standardmäßig verschlüsselt. Wenn Sie eine Verbindung zu einer Instanz über ihre öffentliche IP-Adresse herstellen, sollten Sie SSL/TLS-Zertifikate verwenden, damit die Daten während der Übertragung sicher sind. SSL/TLS ist das Standardprotokoll für die Verschlüsselung von Daten, die über das Internet gesendet werden. Wenn Ihre Daten nicht verschlüsselt sind, kann jeder Ihre Pakete untersuchen und vertrauliche Informationen lesen.

SSL/TLS-Zertifikate

Für SSL-Verbindungen ist ein Serverzertifikat der Zertifizierungsstelle erforderlich. Cloud SQL generiert automatisch ein Serverzertifikat, wenn Sie eine Instanz erstellen. Solange das Serverzertifikat gültig ist, müssen Sie keine Schritte zum Verwalten Ihres Serverzertifikats ausführen. Wenn das Ablaufdatum des Zertifikats nach zehn Jahren jedoch erreicht und überschritten wird, ist das Zertifikat ungültig und kann von den Clients nicht mehr verwendet werden, um eine sichere Verbindung zu Ihrer Instanz herzustellen. Sie können auch manuell ein neues Zertifikat erstellen.

SSL/TLS-Verschlüsselung erzwingen

Wenn Sie bei der Konfiguration Ihrer Cloud SQL-Instanz festlegen, dass SSL-/TLS-Verbindungen akzeptiert werden sollen, werden SSL-/TLS-Verbindungen für die Instanz aktiviert. Es werden aber auch weiterhin alle unsicheren Verbindungen akzeptiert. Sie müssen die SSL-/TLS-Verschlüsselung für alle Verbindungen zur Bedingung machen, sonst können auch Clients ohne gültiges Zertifikat Verbindungen herstellen. Es wird daher dringend empfohlen, SSL für alle Verbindungen zu erzwingen, wenn über IP-Adressen auf Ihre Instanz zugegriffen wird.

Autorisierte Netzwerke verwenden

Wenn Ihre Cloud SQL-Instanz eine öffentliche IP-Adresse verwendet, müssen Sie die IP-Adressen Ihrer SQL Server-Clients als autorisierte Netzwerke hinzufügen, wenn Sie SSL/TLS konfigurieren.

In diesem Fall sind SQL Server-Clients nur dann berechtigt, eine Verbindung herzustellen, wenn ihre IP-Adressen in diese Liste aufgenommen wurden. Die IP-Adressen können auf einen einzelnen Endpunkt beschränkt sein oder aus einem Bereich im CIDR-Format bestehen. Beispiel: 10.50.51.3 oder 10.50.51.0/26.

Ablauf des SSL-Zertifikats

SSL-Zertifikate, die Cloud SQL-Instanzen zugeordnet sind, haben eine Gültigkeitsdauer von zehn Jahren. Führen Sie nach Ablauf die SSL-Zertifikatsrotation durch. Sie können die SSL-Konfiguration Ihrer Cloud SQL-Instanz auch jederzeit zurücksetzen.

Nächste Schritte