Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei certificati SSL/TLS

MySQL | PostgreSQL | SQL Server

Questa pagina descrive come applicare la crittografia SSL/TLS per un'istanza per garantire che tutte le connessioni siano criptate. Puoi anche Scopri di più su come Cloud SQL utilizza i certificati SSL/TLS autogestiti per connetterti alle istanze Cloud SQL in modo sicuro.

Panoramica

Cloud SQL crea un certificato server automaticamente quando crei la tua istanza. Ti consigliamo di obbligare tutte le connessioni a utilizzare SSL/TLS.

SQL Server esegue la verifica del certificato solo quando la richiesta del client specifica esplicitamente che richiede una connessione crittografata. In questo caso, il certificato del server deve essere installato sul computer client. Altrimenti, i clienti possono connettersi liberamente alle stringhe di connessione o ai certificati, anche se configuri con sslMode impostato su ENCRYPTED_ONLY.

Per ulteriori informazioni, consulta la sezione Attivare le connessioni criptate al motore del database nella documentazione di SQL Server.

Se applichi il protocollo SSL per un'istanza, quest'ultima dovrà essere riavviata. Potrebbe essere necessario anche un riavvio dopo aver modificato i certificati SSL/TLS. Quando è necessario un riavvio, Cloud SQL riavvia automaticamente l'istanza. Il riavvio di un'istanza può comportare tempi di inattività.

Applica la crittografia SSL/TLS

Puoi utilizzare l'impostazione Modalità SSL per applicare la crittografia SSL nei seguenti modi:

Consenti connessioni non SSL/non TLS e SSL/TLS. Questa è l'impostazione predefinita.
Consenti solo connessioni criptate con SSL/TLS.

Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per la tua istanza Cloud SQL, vengono accettate le connessioni SSL/TLS, nonché le connessioni non criptate e non sicure. Se non hai bisogno di SSL/TLS per tutte le connessioni, sono ancora consentite. Per questo motivo, se accedi alla tua istanza utilizzando un indirizzo IP pubblico, ti consigliamo vivamente di applicare SSL per tutte le connessioni.

Puoi connetterti direttamente alle istanze utilizzando i certificati SSL/TLS oppure puoi connetterti utilizzando il proxy di autenticazione Cloud SQL o connettori Cloud SQL. Se esegui la connessione utilizzando Cloud SQL Auth Proxy o i connettori Cloud SQL, le connessioni vengono criptate automaticamente con SSL/TLS. Con Cloud SQL Auth Proxy e Cloud SQL Connectors, anche le identità client e server vengono verificate automaticamente, indipendentemente dall'impostazione della modalità SSL.

L'applicazione del protocollo SSL garantisce che tutte le connessioni siano criptate.

Per attivare l'obbligo di SSL/TLS:

Console

Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

Vai a Istanze Cloud SQL
Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
Fai clic su Connessioni nel menu di navigazione SQL.
Seleziona la scheda Sicurezza.
Seleziona una delle seguenti opzioni:
- Consenti il traffico di rete non criptato (opzione non consigliata)
- Consenti solo connessioni SSL. Questa opzione consente solo che utilizzano la crittografia SSL/TLS.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

Sostituisci SSL_ENFORCEMENT_MODE con uno dei seguenti opzioni:

ALLOW_UNENCRYPTED_AND_ENCRYPTED consente connessioni non SSL/non TLS e SSL/TLS. Questo è il valore predefinito.
ENCRYPTED_ONLY consente solo connessioni criptate con SSL/TLS.

Terraform

Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform:

resource "google_sql_database_instance" "sqlserver_instance" {
  name             = "sqlserver-instance"
  region           = "asia-northeast1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      ssl_mode = "ENCRYPTED_ONLY"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la configurazione Terraform a un progetto Google Cloud, completa i passaggi nella le sezioni seguenti.

Prepara Cloud Shell

Avvia Cloud Shell.
Imposta il progetto Google Cloud predefinito dove vuoi applicare le configurazioni Terraform.

Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Le variabili di ambiente vengono sostituite se imposti valori espliciti in Terraform di configurazione del deployment.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

Copia il codice campione nel nuovo oggetto main.tf.

Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.
Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
Salva le modifiche.
Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
```
terraform init
```
Se vuoi, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade:
```
terraform init -upgrade
```

Applica le modifiche

Rivedi la configurazione e verifica che le risorse che Terraform creerà o che l'aggiornamento soddisfi le tue aspettative:
```
terraform plan
```
Apporta le correzioni necessarie alla configurazione.
Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta:
```
terraform apply
```
Attendi che Terraform mostri il messaggio "Applicazione completata".
Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.

Elimina le modifiche

Per eliminare le modifiche:

Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
```
deletion_protection =  "false"
```
Applica la configurazione Terraform aggiornata eseguendo il comando seguente inserendo yes alla richiesta:
```
terraform apply
```

Rimuovi le risorse applicate in precedenza con la tua configurazione Terraform eseguendo questo comando e inserendo yes al prompt:
```
terraform destroy
```

REST v1

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID progetto
- SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS.
  - ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
- INSTANCE_ID: l'ID istanza
Metodo HTTP e URL:
```
PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID
```
Corpo JSON della richiesta:
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
Risposta
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

REST v1beta4

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID progetto
- SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
  - ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente le connessioni non SSL/non TLS e SSL/TLS.
  - ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
- INSTANCE_ID: l'ID istanza
Metodo HTTP e URL:
```
PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID
```
Corpo JSON della richiesta:
```
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
Risposta
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

Certificati server

Cloud SQL crea automaticamente un certificato server quando crei in esecuzione in un'istanza Compute Engine. Finché il certificato del server è valido, non è necessario per gestire attivamente il certificato del server. Cloud SQL ti consente di scegliere tra due diverse gerarchie di autorità di certificazione (CA). La gerarchia CA selezionata diventa la modalità CA del server dell'istanza. Se utilizzi l'autorità di certificazione per istanza come modalità dell'autorità di certificazione del server per la tua istanza, i certificati del server hanno una data di scadenza di 10 anni. Se utilizzi una CA condivisa come modalità CA del server di la tua istanza (anteprima), il certificato del server ha una data di scadenza di un anno. Dopo la data di scadenza, il certificato del server non è più valido e i client non possono più stabilire una connessione sicura all'istanza utilizzando questo certificato. Se un client è configurato per verificare la CA o il nome host sul server quindi le connessioni del client alle istanze Cloud SQL I certificati server scaduti non riusciranno. Per evitare interruzioni delle connessioni client, Ruota il certificato del server prima che scada. Ricevi periodicamente una notifica che ti informa che il certificato del server sta per scadere. Le notifiche vengono inviate il numero di giorni seguente alla scadenza data: 90, 30, 10, 2 e 1.

Puoi ottenere informazioni sul certificato del server, ad esempio la data di creazione e la data di scadenza. Prima della data di scadenza, puoi crearne uno nuovo manualmente.

Console

Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

Vai a Istanze Cloud SQL
Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
Fai clic su Connessioni nel menu di navigazione SQL.
Seleziona la scheda Sicurezza.
Vai alla sezione Gestisci certificati server.
Puoi vedere la data di scadenza del certificato del server nel tabella.

gcloud

Per le istanze che utilizzano certificati server autofirmati (CA per istanza):

Per ottenere informazioni sul certificato del server, utilizza il comando sql ssl server-ca-certs list:
```
gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME
```
Per creare un certificato del server, utilizza il comando sql ssl server-ca-certs create:
```
gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
```

Scarica le informazioni del certificato in un file PEM locale:

gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

Aggiorna tutti i tuoi clienti per utilizzare le nuove informazioni copiando il file scaricato nei computer host client, sostituendo il server-ca.pem file esistenti.

Per le istanze che utilizzano certificati del server emessi da una CA condivisa (anteprima):

Per informazioni sul certificato del server, utilizza il comando beta sql ssl server-certs list:
```
gcloud beta sql ssl server-certs list \
   --instance=INSTANCE_NAME
```
Per creare un certificato del server, utilizza il comando beta sql ssl server-certs create:
```
gcloud beta sql ssl server-certs create \
   --instance=INSTANCE_NAME
```

Scarica le informazioni del certificato in un file PEM locale:

gcloud beta sql ssl server-certs list \
   --format="value(ca_cert.cert)" \
   --instance=INSTANCE_NAME > \
   FILE_PATH/FILE_NAME.pem

Aggiorna tutti i client in modo che utilizzino le nuove informazioni copiando il file scaricato sulle macchine host dei client, sostituendo i file server-ca.pem esistenti.

Terraform

Per fornire le informazioni sul certificato del server come output, utilizza un'origine dati Terraform:

Aggiungi quanto segue al file di configurazione Terraform:

   data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }

Per creare il file server-ca.pem, esegui questo comando:

   terraform output db_latest_ca_cert > server-ca.pem

Utilizzare connessioni criptate

Scopri di più su come SQL Server utilizza le connessioni criptate.

Attiva la verifica dell'identità del server

Se selezioni CA condivise come la modalità CA del server di Cloud SQL istanza (anteprima), ti consigliamo anche di abilitare la verifica dell'identità del server. Le istanze che utilizzano la CA condivisa come modalità CA del server contengono il nome DNS dell'istanza nel campo Subject Alternative Name (SAN) del certificato del server. Puoi ottenere questo nome DNS utilizzando l'API instance lookup e utilizzando la risposta come nome host per la verifica dell'identità del server. Devi configurare la risoluzione DNS per il nome DNS.

Per attivare la verifica dell'identità del server:

Per visualizzare informazioni di riepilogo su un'istanza Cloud SQL, incluso il nome DNS dell'istanza, utilizza il comando gcloud sql instances describe:
```
gcloud sql instances describe INSTANCE_NAME \
  --project=PROJECT_ID
```
Effettua le seguenti sostituzioni:
- INSTANCE_NAME: il nome dell'istanza Cloud SQL
- PROJECT_ID: l'ID o numero progetto del progetto Google Cloud che contiene l'istanza
Nella risposta, verifica che venga visualizzato il nome DNS. Questo nome ha il seguente pattern:
```
INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.
```
Ad esempio:

1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.

Puoi anche utilizzare il comando connect.get dell'API Cloud SQL Admin per ottenere il nome DNS dell'istanza.
Crea il record DNS in una zona DNS. Se ti connetti in privato, crea il record DNS in una zona DNS privata nella rete Virtual Private Cloud (VPC) corrispondente.
Quando ti connetti all'istanza Cloud SQL per SQL Server, configura il nome DNS o IP come nome host. Quindi abilita l'identità server specificando il flag -N per sqlcmd o selezionando il Opzione Cripta connessione/crittografia di SSMS.

Altri driver SQL Server hanno flag o configurazioni simili.

Passaggi successivi

Gestisci certificati SSL/TLS sulla tua istanza Cloud SQL.
Scopri di più su come viene gestita la crittografia in Google Cloud.

Configurazione dei certificati SSL/TLS

Panoramica

Applica la crittografia SSL/TLS

Console

gcloud

Terraform

Applica le modifiche

Prepara Cloud Shell

Prepara la directory

Applica le modifiche

Elimina le modifiche

REST v1

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Risposta

REST v1beta4

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Risposta

Certificati server

Console

gcloud

Terraform

Utilizzare connessioni criptate

Attiva la verifica dell'identità del server

Passaggi successivi