Configurazione dei certificati SSL/TLS

Questa pagina descrive come configurare un'istanza per l'utilizzo di SSL/TLS. Puoi anche scoprire di più su come Cloud SQL utilizza i certificati SSL/TLS autogestiti per connettersi in modo sicuro alle istanze Cloud SQL.

Panoramica

Cloud SQL crea automaticamente un certificato server (server-ca.pem) quando crei l'istanza. Ti consigliamo di imporre l'utilizzo di SSL/TLS a tutte le connessioni.

SQL Server esegue la verifica del certificato solo quando la richiesta del client specifica esplicitamente che richiede una connessione criptata. In questo caso, il certificato del server deve essere installato sulla macchina client. In caso contrario, i client possono connettersi liberamente senza apportare ulteriori modifiche alle stringhe di connessione o ai certificati, anche se configuri l'istanza con il criterio sslMode impostato su ENCRYPTED_ONLY.

Per ulteriori informazioni, consulta la sezione Abilitare le connessioni criptate al motore di database nella documentazione di SQL Server.

Se applichi il protocollo SSL per un'istanza, quest'ultima dovrà essere riavviata. Potrebbe essere necessario anche un riavvio dopo aver modificato i certificati SSL/TLS. Quando è necessario un riavvio, Cloud SQL riavvia automaticamente l'istanza. Il riavvio di un'istanza può comportare tempi di inattività.

Applica la crittografia SSL/TLS

Puoi utilizzare l'impostazione Modalità SSL per applicare la crittografia SSL nei seguenti modi:

  • Consenti connessioni non SSL/non TLS e SSL/TLS. Questa è l'impostazione predefinita.

  • Consenti solo connessioni criptate con SSL/TLS.

Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per la tua istanza Cloud SQL, vengono accettate le connessioni SSL/TLS e le connessioni non crittografate e non sicure. Se non richiedi SSL/TLS per tutte le connessioni, le connessioni non criptate sono comunque consentite. Per questo motivo, se accedi all'istanza utilizzando l'IP pubblico, ti consigliamo vivamente di applicare il protocollo SSL per tutte le connessioni.

Puoi connetterti direttamente alle istanze utilizzando certificati SSL/TLS oppure utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL. Se ti connetti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL, le connessioni vengono criptate automaticamente con SSL/TLS. Con il proxy di autenticazione Cloud SQL e i connettori Cloud SQL, anche le identità client e server vengono verificate automaticamente, indipendentemente dall'impostazione della modalità SSL.

L'applicazione del protocollo SSL garantisce che tutte le connessioni siano criptate.

Per attivare la richiesta di SSL/TLS, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Seleziona una delle seguenti opzioni:
    • Consenti il traffico di rete non criptato (opzione non consigliata)
    • Consenti solo connessioni SSL. Questa opzione consente solo connessioni che utilizzano la crittografia SSL/TLS.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

Sostituisci SSL_ENFORCEMENT_MODE con una delle seguenti opzioni:

  • ALLOW_UNENCRYPTED_AND_ENCRYPTED consente le connessioni non SSL/non TLS e SSL/TLS. Questo è il valore predefinito.
  • ENCRYPTED_ONLY consente solo connessioni criptate con SSL/TLS.

Terraform

Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform: 

resource "google_sql_database_instance" "sqlserver_instance" {
  name             = "sqlserver-instance"
  region           = "asia-northeast1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      require_ssl = "true"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la tua configurazione Terraform a un progetto Google Cloud, completa i passaggi nelle sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito a cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.

Prepara la directory

Ogni file di configurazione Terraform deve avere la propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome del file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Facoltativamente, copia il codice da GitHub. Questa opzione è consigliata se lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory. 
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Esamina la configurazione e verifica che le risorse che Terraform creerà o aggiornerà soddisfino le tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes al prompt: 
    terraform apply

    Attendi finché in Terraform non viene visualizzato il messaggio "Applicazione completata!".

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta l'argomento deletion_protection nel file di configurazione di Terraform su false. 
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo questo comando e inserendo yes al prompt: 
    terraform apply

  1. Per rimuovere le risorse applicate in precedenza con la tua configurazione Terraform, esegui questo comando e inserisci yes al prompt:

    terraform destroy

REST v1

  1. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente le connessioni non SSL/non TLS e SSL/TLS.
      • ENCRYPTED_ONLY: consente solo le connessioni criptate con SSL/TLS.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente le connessioni non SSL/non TLS e SSL/TLS.
      • ENCRYPTED_ONLY: consente solo le connessioni criptate con SSL/TLS.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    {
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Certificati server

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Finché il certificato del server è valido, non devi gestire attivamente il certificato del server. Tuttavia, il certificato ha una data di scadenza di 10 anni, dopo questa data non è più valido e i client non sono in grado di stabilire una connessione sicura all'istanza utilizzando il certificato. Riceverai periodicamente una notifica che il certificato del server sta per scadere. Le notifiche vengono inviate il seguente numero di giorni prima della data di scadenza: 90, 30, 10, 2 e 1.

Puoi visualizzare informazioni sul tuo certificato server, ad esempio quando è stato creato e quando scade, oppure puoi crearne uno manualmente.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connections (Connessioni) dal menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Vai alla sezione Gestisci certificati server.

    Puoi vedere la data di scadenza del certificato del server nella tabella.

gcloud

  1. Ottieni informazioni sul certificato di servizio: 
    gcloud beta sql ssl server-ca-certs list \
--instance=INSTANCE_NAME
  2. Crea un certificato del server: 
    gcloud beta sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale: 
    gcloud beta sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i client per utilizzare le nuove informazioni copiando il file scaricato sui computer host del client e sostituendo i file server-ca.pem esistenti.

Terraform

Per fornire informazioni sul certificato del server come output, utilizza un'origine dati Terraform:

  1. Aggiungi quanto segue al file di configurazione Terraform: 
       data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }
  2. Per creare il file server-ca.pem, esegui questo comando: 
       terraform output db_latest_ca_cert > server-ca.pem

Utilizza connessioni criptate

Scopri di più su come SQL Server utilizza le connessioni criptate.

Passaggi successivi