Como configurar certificados SSL/TLS

Nesta página, veja como configurar uma instância para usar SSL/TLS. Saiba mais sobre como usar SSL/TLS com o Cloud SQL.

Visão geral

O Cloud SQL cria um certificado de servidor (server-ca.pem) automaticamente quando você cria a instância.

O SQL Server só executa a verificação de certificado quando a solicitação do cliente especifica explicitamente que é necessária uma conexão criptografada. Nesse caso, o certificado de servidor precisa ser instalado na máquina cliente. Caso contrário, os clientes poderão se conectar livremente sem precisar de alterações adicionais nos certificados ou nas strings de conexão, mesmo que "Exigir SSL" esteja ativado na instância do Cloud SQL.

Não é preciso reiniciar a instância depois de alterar os certificados SSL/TLS.

Para mais informações, consulte a seção Ativar conexões criptografadas com o Database Engine na documentação do SQL Server.

Como solicitar SSL/TLS

Quando a exigência de SSL/TLS está ativada, é possível usar os certificados de Proxy do Cloud SQL Auth ou SSL/TLS para conectar-se à sua instância do Cloud SQL. Além disso, se você não exigir SSL/TLS, os clientes sem um certificado válido poderão se conectar.

Para ativar a solicitação de SSL/TLS:

Console

  1. Acesse a página "Instâncias" do Cloud SQL no Console do Google Cloud.
    Acessar a página "Instâncias" do Cloud SQL
  2. Clique no nome da instância para abrir a página Detalhes da instância.
  3. Clique no link Conexões no painel de navegação à esquerda.
  4. Role para baixo até a seção de Conexões SSL.
  5. Clique em Permitir somente conexões SSL.

gcloud

gcloud sql instances patch [INSTANCE_NAME] --require-ssl
  

REST v1beta4

  1. Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • project-id: o ID do projeto
    • instance-id: o ID da instância

    Método HTTP e URL:

    PATCH https://www.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id

    Corpo JSON da solicitação:

    {
      "settings": {
        "ipConfiguration": {"requireSsl": "true"}
      }
    }
    

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

Certificados do servidor

O Cloud SQL cria um certificado de servidor automaticamente quando você cria a instância. Desde que o certificado do servidor seja válido, não será necessário gerenciá-lo ativamente. No entanto, o certificado tem uma data de validade de 10 anos. Após essa data, ele não será mais válido, e os clientes não poderão usá-lo para estabelecer uma conexão segura com a instância. Você receberá uma notificação quando o certificado do servidor estiver prestes a expirar.

É possível receber informações sobre o certificado do servidor, como quando ele foi criado e quando expira, ou criar um novo manualmente.

Console

  1. Acesse a página "Instâncias" do Cloud SQL no Console do Google Cloud.

    Acesse a página "Instâncias" do Cloud SQL

  2. Clique no nome da instância para abrir a página Detalhes da instância.
  3. Clique no link Conexões no painel de navegação à esquerda.
  4. Role para baixo até a seção Configurações de SSL do servidor.

    Veja a data de validade do certificado do servidor na tabela.

gcloud

  1. Receba informações sobre o certificado de serviço:
    gcloud beta sql ssl server-ca-certs list --instance=[INSTANCE_NAME]
           
  2. Crie um certificado do servidor:
    gcloud beta sql ssl server-ca-certs create --instance=[INSTANCE]
  3. Faça o download das informações do certificado para um arquivo PEM local:
    gcloud beta sql ssl server-ca-certs list --format="value(cert)" \
    --instance=[INSTANCE_NAME] > [FILE_PATH]/[FILE_NAME].pem
  4. Atualize todos os clientes para usar as novas informações. Basta copiar o arquivo transferido por download para as máquinas host do cliente, substituindo os arquivos "server-ca.pem" atuais.

Como usar conexões criptografadas

Saiba mais sobre como o SQL Server usa conexões criptografadas.

A seguir

  • Gerencie o SSL/TLS na instância do Cloud SQL.