Configurar certificados SSL/TLS

Console

1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

   Ir a Instancias de Cloud SQL

2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
3. Haz clic en Conexiones en el Menú de navegación de SQL.
4. Selecciona la pestaña Seguridad.
5. Selecciona una de las siguientes opciones:
   • Permitir el tráfico de red sin encriptar (no recomendado)
   • ¿Solo permitir conexiones SSL? Esta opción solo permite conexiones a través de la encriptación SSL/TLS.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE
  

Reemplaza SSL_ENFORCEMENT_MODE por una de las siguientes opciones:

• ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS. Este es el valor predeterminado.
• ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS.

Terraform

Para aplicar la encriptación SSL/TLS, usa un recurso de Terraform:

resource "google_sql_database_instance" "sqlserver_instance" {
  name             = "sqlserver-instance"
  region           = "asia-northeast1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"
  settings {
    tier = "db-custom-2-7680"
    ip_configuration {
      ssl_mode = "ENCRYPTED_ONLY"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Aplique los cambios

Para aplicar tu configuración de Terraform en un proyecto de Google Cloud, completa los pasos de las siguientes secciones.

Prepara Cloud Shell

1. Inicia Cloud Shell

2. Establece el proyecto de Google Cloud predeterminado en el que deseas aplicar tus configuraciones de Terraform.

   Solo necesitas ejecutar este comando una vez por proyecto y puedes ejecutarlo en cualquier directorio.

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID

   Las variables de entorno se anulan si configuras valores explícitos en el archivo de configuración de Terraform.

Prepara el directorio

Cada archivo de configuración de Terraform debe tener su propio directorio (también llamado módulo raíz).

1. En Cloud Shell, crea un directorio y un archivo nuevo dentro de ese directorio. El nombre del archivo debe tener la extensión .tf, por ejemplo, main.tf. En este instructivo, el archivo se denomina main.tf.

   mkdir DIRECTORY && cd DIRECTORY && touch main.tf

2. Si sigues un instructivo, puedes copiar el código de muestra en cada sección o paso.

   Copia el código de muestra en el main.tf recién creado.

   De manera opcional, copia el código de GitHub. Esto se recomienda cuando el fragmento de Terraform es parte de una solución de extremo a extremo.

3. Revisa y modifica los parámetros de muestra que se aplicarán a tu entorno.
4. Guarda los cambios.
5. Inicializa Terraform. Solo debes hacerlo una vez por directorio.

   terraform init

   De manera opcional, incluye la opción -upgrade para usar la última versión del proveedor de Google:

   terraform init -upgrade

Aplica los cambios

1. Revisa la configuración y verifica que los recursos que creará o actualizará Terraform coincidan con tus expectativas:

   terraform plan

   Corrige la configuración según sea necesario.

2. Para aplicar la configuración de Terraform, ejecuta el siguiente comando y, luego, escribe yes cuando se te solicite:

   terraform apply

   Espera hasta que Terraform muestre el mensaje “¡Aplicación completa!”.

3. Abre tu proyecto de Google Cloud para ver los resultados. En la consola de Google Cloud, navega a tus recursos en la IU para asegurarte de que Terraform los haya creado o actualizado.

Borra los cambios

Para borrar tus cambios, haz lo siguiente:

1. Para inhabilitar la protección contra la eliminación, en tu archivo de configuración de Terraform, establece el argumento deletion_protection en false.

   deletion_protection =  "false"

2. Para aplicar la configuración actualizada de Terraform, ejecuta el siguiente comando y, luego, ingresa yes cuando se te solicite:

   terraform apply

3. Quita los recursos que se aplicaron antes con tu configuración de Terraform a través de la ejecución del siguiente comando y, luego, ingresa yes cuando se te solicite:

   terraform destroy

REST v1

1. Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

   • PROJECT_ID: el ID del proyecto
   • SSL_ENFORCEMENT_MODE: Usa una de las siguientes opciones:
     • ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS.
     • ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS.
   • INSTANCE_ID: El ID de la instancia

   Método HTTP y URL:

   PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

   Cuerpo JSON de la solicitud:

   
   {
     "settings": {
       "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
     }
   }
   

   Para enviar tu solicitud, expande una de estas opciones:

   curl (Linux, macOS o Cloud Shell)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

   curl -X PATCH \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID"

   PowerShell (Windows)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method PATCH `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content

   Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

   Respuesta

   {
     "kind": "sql#operation",
     "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
     "status": "PENDING",
     "user": "user@example.com",
     "insertTime": "2020-01-20T21:30:35.667Z",
     "operationType": "UPDATE",
     "name": "OPERATION_ID",
     "targetId": "INSTANCE_ID",
     "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
     "targetProject": "PROJECT_ID"
   }
   

REST v1beta4

1. Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

   • PROJECT_ID: el ID del proyecto
   • SSL_ENFORCEMENT_MODE: Usa una de las siguientes opciones:
     • ALLOW_UNENCRYPTED_AND_ENCRYPTED: permite conexiones sin SSL/TLS y con SSL/TLS.
     • ENCRYPTED_ONLY: solo permite conexiones encriptadas con SSL/TLS.
   • INSTANCE_ID: El ID de la instancia

   Método HTTP y URL:

   PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

   Cuerpo JSON de la solicitud:

   {
     "settings": {
       "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
     }
   }
   

   Para enviar tu solicitud, expande una de estas opciones:

   curl (Linux, macOS o Cloud Shell)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

   curl -X PATCH \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID"

   PowerShell (Windows)

   Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method PATCH `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID" | Select-Object -Expand Content

   Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

   Respuesta

   {
     "kind": "sql#operation",
     "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
     "status": "PENDING",
     "user": "user@example.com",
     "insertTime": "2020-01-20T21:30:35.667Z",
     "operationType": "UPDATE",
     "name": "OPERATION_ID",
     "targetId": "INSTANCE_ID",
     "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
     "targetProject": "PROJECT_ID"
   }
   

Console

1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

   Ir a Instancias de Cloud SQL

2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
3. Haz clic en Conexiones en el Menú de navegación de SQL.
4. Selecciona la pestaña Seguridad.
5. Ve a la sección Administrar certificados de servidor.

   Puedes ver la fecha de vencimiento de tu certificado de servidor en la tabla.

gcloud

Para instancias que usan certificados de servidor autofirmados (AC por instancia):

1. Para obtener información sobre el certificado del servidor, usa el comando sql ssl server-ca-certs list:

   gcloud sql ssl server-ca-certs list \
   --instance=INSTANCE_NAME

2. Para crear un certificado de servidor, usa el comando sql ssl server-ca-certs create:

   gcloud sql ssl server-ca-certs create \
   --instance=INSTANCE_NAME

3. Descarga la información del certificado a un archivo PEM local:

   gcloud sql ssl server-ca-certs list \
   --format="value(cert)" \
   --instance=INSTANCE_NAME > \
   FILE_PATH/FILE_NAME.pem

4. Actualiza todos los clientes de MySQL a fin de usar la información nueva. Para ello, copia el archivo descargado en las máquinas anfitrionas de cliente y reemplaza los archivosserver-ca.pem existentes.

Para instancias que usan certificados de servidor emitidos por una AC compartida (versión preliminar):

1. Para obtener información sobre el certificado del servidor, usa el comando beta sql ssl server-certs list:

   gcloud beta sql ssl server-certs list \
      --instance=INSTANCE_NAME

2. Para crear un certificado de servidor, usa el comando beta sql ssl server-certs create:

   gcloud beta sql ssl server-certs create \
      --instance=INSTANCE_NAME

3. Descarga la información del certificado a un archivo PEM local:

   gcloud beta sql ssl server-certs list \
      --format="value(ca_cert.cert)" \
      --instance=INSTANCE_NAME > \
      FILE_PATH/FILE_NAME.pem

4. Actualiza todos los clientes de MySQL a fin de usar la información nueva. Para ello, copia el archivo descargado en las máquinas anfitrionas de cliente y reemplaza los archivosserver-ca.pem existentes.

Terraform

Para proporcionar información del certificado del servidor como resultado, usa una fuente de datos de Terraform:

1. Agrega lo siguiente al archivo de configuración de Terraform:

      data "google_sql_ca_certs" "ca_certs" {
        instance = google_sql_database_instance.default.name
      }
   
      locals {
        furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
        latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
      }
   
      output "db_latest_ca_cert" {
        description = "Latest CA certificate used by the primary database server"
        value       = local.latest_ca_cert
        sensitive   = true
      }
      

2. Para crear el archivo server-ca.pem, ejecuta el siguiente comando:

      terraform output db_latest_ca_cert > server-ca.pem