Mengelola sertifikat SSL/TLS

Halaman ini menjelaskan cara mengelola sertifikat otoritas sertifikasi (CA) server Anda.

Menggunakan koneksi terenkripsi

Pelajari lebih lanjut cara SQL Server menggunakan koneksi terenkripsi.

Mengelola sertifikat CA server (CA per-instance)

Bagian ini menjelaskan cara mengelola sertifikat CA server yang dibuat secara internal oleh Cloud SQL. Ini adalah mode CA server default di Cloud SQL. Dalam hierarki certificate authority ini, Cloud SQL membuat CA server untuk setiap instance.

Merotasi sertifikat CA server

Jika Anda menerima pemberitahuan tentang masa berlaku sertifikat atau ingin memulai rotasi, lakukan langkah-langkah berikut untuk menyelesaikan rotasi. Sebelum memulai rotasi, Anda harus memiliki CA server baru di instance. Jika CA server baru sudah dibuat, Anda dapat melewati langkah pertama dalam prosedur berikut.

  1. Buat CA server baru.
  2. Download informasi sertifikat CA server baru.
  3. Perbarui klien Anda untuk menggunakan informasi sertifikat CA server yang baru.
  4. Selesaikan rotasi, yang memindahkan sertifikat aktif ke slot "sebelumnya" dan memperbarui sertifikat yang baru ditambahkan menjadi sertifikat aktif.

Konsol

Download sertifikat CA server baru, yang dienkode sebagai file PEM, ke lingkungan lokal Anda:

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.
  5. Klik untuk meluaskan Kelola sertifikat.
  6. Pilih Rotasi sertifikat CA.

    Jika tidak ada sertifikat yang memenuhi syarat, opsi rotasi tidak akan tersedia. Anda harus membuat sertifikat CA server baru.

  7. Klik Download Sertifikat.

Perbarui semua klien SQL Server Anda untuk menggunakan informasi baru dengan menyalin file yang didownload ke mesin host klien, menggantikan file server-ca.pem yang sudah ada.

Setelah Anda memperbarui klien, selesaikan rotasi:

  1. Kembali ke tab Keamanan.
  2. Klik untuk meluaskan Kelola sertifikat.
  3. Pilih Rotasi sertifikat CA.
  4. Pastikan klien Anda terhubung dengan benar.

    5. Jika ada klien yang tidak terhubung menggunakan sertifikat CA yang baru dirotasi, Anda dapat memilih Rollback sertifikat CA untuk melakukan rollback ke konfigurasi sebelumnya.

gcloud

  1. Buat sertifikat CA server: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE
  2. Download informasi sertifikat ke file PEM lokal: 
    gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  3. Perbarui semua klien Anda untuk menggunakan informasi baru ini dengan menyalin file yang didownload ke mesin host klien, menggantikan file server-ca.pem yang sudah ada.
  4. Setelah Anda memperbarui klien, selesaikan rotasi: 
    gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME
  5. Pastikan klien Anda terhubung dengan benar.

    6. Jika ada klien yang tidak terhubung menggunakan sertifikat yang baru dirotasi, Anda dapat melakukan rollback ke konfigurasi sebelumnya.

REST v1

  1. Download sertifikat CA server Anda:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Selesaikan rotasi:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

  1. Download sertifikat CA server Anda:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Selesaikan rotasi:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Jika Anda menerima error saat mencoba mengganti sertifikat yang bertuliskan No upcoming/previous Server CA Certificate exists, verifikasi bahwa Anda menjalankan perintah pada instance yang menggunakan hierarki CA per instance. Anda dapat melihat hierarki CA yang dikonfigurasi untuk instance Cloud SQL menggunakan perintah gcloud sql instances describe. Untuk mengetahui informasi selengkapnya, lihat Melihat informasi instance.

Pembatalan operasi rotasi sertifikat

Setelah Anda menyelesaikan rotasi sertifikat, semua klien Anda harus menggunakan sertifikat baru untuk terhubung ke instance Cloud SQL. Jika klien tidak diperbarui dengan benar untuk menggunakan informasi sertifikat baru, klien tidak dapat terhubung menggunakan SSL/TLS ke instance Anda. Jika hal ini terjadi, Anda dapat melakukan roll back ke konfigurasi sertifikat sebelumnya.

Operasi rollback akan memindahkan sertifikat aktif ke slot "mendatang" (menggantikan sertifikat "mendatang"). Sertifikat "sebelumnya" akan menjadi sertifikat aktif, mengembalikan konfigurasi sertifikat ke keadaan sebelum Anda menyelesaikan rotasi.

Untuk melakukan roll back ke konfigurasi sertifikat sebelumnya:

Konsol

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.
  5. Klik untuk meluaskan Kelola sertifikat.
  6. Pilih Rollback sertifikat CA.

    Jika tidak ada sertifikat yang memenuhi syarat, opsi rollback tidak tersedia. Jika tidak, tindakan rollback akan selesai setelah beberapa detik.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Download sertifikat CA server Anda:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Salin kolom sha1Fingerprint untuk versi yang ingin Anda roll back.

    Cari versi dengan nilai createTime yang lebih awal sebelum versi dengan nilai sha1Fingerprint yang ditunjukkan sebagai activeVersion.

  3. Roll back rotasi:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Meminta isi JSON: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

  1. Download sertifikat CA server Anda:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Salin kolom sha1Fingerprint untuk versi yang ingin Anda roll back.

    Cari versi dengan nilai createTime yang lebih awal sebelum versi dengan nilai sha1Fingerprint yang ditunjukkan sebagai activeVersion.

  3. Roll back rotasi:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Meminta isi JSON: 

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Jika Anda menerima error saat mencoba mengembalikan rotasi CA sertifikat yang menyatakan No upcoming/previous Server CA Certificate exists, maka verifikasi bahwa Anda menjalankan perintah di instance yang menggunakan hierarki CA per instance. Anda dapat melihat hierarki CA yang dikonfigurasi untuk instance Cloud SQL menggunakan perintah gcloud sql instances describe. Untuk mengetahui informasi selengkapnya, lihat Melihat informasi instance.

Memulai rotasi

Anda tidak perlu menunggu email dari Cloud SQL untuk memulai rotasi. Anda dapat memulainya kapan saja. Saat Anda memulai rotasi, sertifikat baru akan dibuat dan ditempatkan ke slot "mendatang". Jika sertifikat sudah ada di slot "mendatang" pada saat permintaan Anda, sertifikat tersebut akan dihapus. Hanya boleh ada satu sertifikat mendatang.

Untuk memulai rotasi:

Konsol

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.
  5. Klik untuk meluaskan Kelola sertifikat.
  6. Klik Buat sertifikat CA baru.
  7. Pilih Rotasi sertifikat CA.

    Jika tidak ada sertifikat yang memenuhi syarat, opsi rotasi tidak akan tersedia.

  8. Selesaikan rotasi seperti yang dijelaskan dalam Merotasi sertifikat CA server.

gcloud

  1. Memulai rotasi: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  2. Selesaikan rotasi seperti yang dijelaskan dalam Merotasi sertifikat CA server.

REST v1

  1. Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Selesaikan rotasi seperti yang dijelaskan dalam Merotasi sertifikat CA server.

REST v1beta4

  1. Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Selesaikan rotasi seperti yang dijelaskan dalam Merotasi sertifikat CA server.

Mendapatkan informasi tentang sertifikat CA server

Anda dapat memperoleh informasi tentang sertifikat CA server, seperti kapan masa berlaku sertifikat berakhir atau tingkat enkripsi yang disediakannya.

Konsol

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.

    Di Kelola sertifikat CA server, Anda dapat melihat tanggal habis masa berlaku sertifikat CA server di tabel.

    Untuk melihat jenis sertifikat, gunakan perintah gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

Saat mendeskripsikan instance, Anda dapat melihat detail tentang sertifikat CA server:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • project-id: ID project
  • instance-id: ID instance

Metode HTTP dan URL: 

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

Saat mendeskripsikan instance, Anda dapat melihat detail tentang sertifikat CA server:

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • project-id: ID project
  • instance-id: ID instance

Metode HTTP dan URL: 

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Melihat konten sertifikat CA

Anda dapat menggunakan openssl storeutl untuk melihat konten sertifikat CA.

Saat menjalankan perintah sql ssl server-ca-certs list, Anda mungkin mendapatkan beberapa sertifikat CA dari operasi terkait rotasi sebelumnya.

gcloud

  1. Jalankan perintah berikut: 
    gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Ganti INSTANCE_NAME dengan nama instance.

  2. Gunakan openssl untuk memeriksa konten sertifikat CA.
    3. openssl storeutl -noout -text temp_cert.pem

Melihat konten sertifikat server

Anda dapat menggunakan nmap untuk melihat konten sertifikat server. Untuk mendownload dan menginstal nmap, kunjungi https://nmap.org/.

gcloud

Untuk melihat konten sertifikat server, jalankan perintah berikut:

nmap -sV -p 1433 --script ssl-cert INSTANCE_IP_ADDRESS -Pn

Ganti INSTANCE_IP_ADDRESS dengan alamat IP instance.

Notifikasi masa berlaku SSL server eksternal telah berakhir

  • Jika sertifikat CA server server eksternal akan berakhir, maka rotasi sertifikat SSL, termasuk sertifikat CA server di instance lokal. Langkah ini bergantung pada cara instance lokal dikelola. Langkah-langkahnya dapat bervariasi jika, misalnya, Anda menggunakan sertifikat CA server RDS, sertifikat CA server Cloud SQL, atau sertifikat CA server generik database.
  • Jika masa berlaku sertifikat klien akan berakhir, Anda harus membuat sertifikat dan kunci baru. Hal ini berlaku untuk sertifikat SSL yang dikelola Google dan sertifikat yang ditandatangani sendiri. Google Cloud
  • Perbarui instance representasi sumber Cloud SQL dengan sertifikat SSL baru.

Mengelola sertifikat server (CA bersama)

Bagian ini menjelaskan cara mengelola sertifikat server pada instance yang menggunakan CA bersama atau CA yang dikelola pelanggan.

Anda dapat memilih untuk menggunakan CA bersama sebagai mode CA server untuk instance Anda dengan menentukan GOOGLE_MANAGED_CAS_CA untuk setelan serverCaMode (Cloud SQL Admin API) atau flag --server-ca-mode (gcloud CLI) saat Anda membuat instance.

Untuk menggunakan CA yang dikelola pelanggan sebagai mode CA server untuk instance Anda, Anda harus menentukan CUSTOMER_MANAGED_CAS_CA untuk setelan serverCaMode (Cloud SQL Admin API) atau flag --server-ca-mode (gcloud CLI) saat Anda membuat instance, dan Anda harus memiliki CA dan kumpulan CA yang valid. Untuk mengetahui informasi selengkapnya, lihat Menggunakan CA yang dikelola pelanggan.

Merotasi sertifikat server

Jika Anda menerima pemberitahuan tentang masa berlaku sertifikat server Anda yang akan berakhir, atau Anda ingin memulai rotasi, lakukan langkah-langkah berikut untuk menyelesaikan rotasi. Sebelum Anda memulai rotasi, sertifikat server baru harus dibuat untuk rotasi mendatang. Jika sudah ada sertifikat server baru yang dibuat untuk rotasi mendatang, Anda dapat melewati langkah pertama dalam prosedur berikut.

Untuk merotasi sertifikat server di instance Anda, lakukan langkah-langkah berikut:

  1. Jika Anda memerlukan sertifikat server baru, buat sertifikat baru.

  2. Jika klien Anda sudah memercayai paket CA regional terbaru, langkah ini bersifat opsional. Namun, jika Anda perlu memperbarui informasi CA server untuk klien, lakukan hal berikut:

    1. Download informasi CA server terbaru.
    2. Perbarui klien Anda untuk menggunakan informasi CA server terbaru.

  3. Selesaikan rotasi dengan memindahkan sertifikat aktif ke slot sebelumnya, dan memperbarui sertifikat baru menjadi sertifikat aktif.

Konsol

Download informasi sertifikat CA server, yang dienkode sebagai file PEM, ke lingkungan lokal Anda:

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.
  5. Klik untuk meluaskan Kelola sertifikat.
  6. Konfirmasi bahwa opsi Rotate server certificate muncul sebagai opsi yang tersedia; namun, jangan pilih opsi tersebut dulu.

    Jika tidak ada sertifikat yang memenuhi syarat, opsi rotasi tidak akan tersedia. Anda harus membuat sertifikat server baru.

  7. Klik Download sertifikat.

Perbarui semua klien SQL Server Anda untuk menggunakan informasi baru dengan menyalin file yang didownload ke mesin host klien, menggantikan file server-ca.pem yang sudah ada.

Setelah Anda memperbarui klien, selesaikan rotasi:

  1. Kembali ke tab Keamanan.
  2. Klik untuk meluaskan Kelola sertifikat.
  3. Pilih Rotasi sertifikat.
  4. Dalam dialog Konfirmasi rotasi sertifikat, klik Putar.

  5. Pastikan klien Anda terhubung dengan benar.

    Jika ada klien yang tidak terhubung menggunakan sertifikat yang baru dirotasi, Anda dapat memilih Rollback sertifikat untuk rollback ke konfigurasi sebelumnya.

gcloud

  1. Untuk membuat sertifikat server, gunakan perintah berikut: 
    gcloud sql ssl server-certs create \
--instance=INSTANCE
    2. Ganti INSTANCE dengan nama instance.
  2. Pastikan Anda menggunakan CA bundle terbaru. Jika Anda tidak menggunakan CA bundle terbaru, jalankan perintah berikut untuk mendownload informasi CA server terbaru untuk instance ke file PEM lokal: 
    gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem

    Atau, download paket CA dari tabel paket sertifikat CA root dan regional di halaman ini.

    Kemudian, perbarui semua klien Anda untuk menggunakan informasi CA server baru dengan menyalin file yang didownload ke mesin host klien, menggantikan file server-ca.pem yang sudah ada.

  3. Setelah Anda memperbarui semua klien (jika pembaruan klien diperlukan), selesaikan rotasi: 
    gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME

  4. Pastikan klien Anda terhubung dengan benar.

    Jika ada klien yang tidak terhubung menggunakan sertifikat server yang baru dirotasi, maka lakukan roll back ke konfigurasi sebelumnya.

REST v1

  1. Buat sertifikat server.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Jika perlu mendownload informasi sertifikat CA server, Anda dapat menggunakan perintah berikut.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  3. Selesaikan rotasi.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: ID project
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

  1. Buat sertifikat server.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Jika perlu mendownload informasi sertifikat CA server, Anda dapat menggunakan perintah berikut.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  3. Selesaikan rotasi.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Membatalkan rotasi sertifikat

Setelah Anda menyelesaikan rotasi sertifikat server, semua klien Anda harus menggunakan sertifikat baru untuk terhubung ke instance Cloud SQL. Jika klien tidak diperbarui dengan benar untuk menggunakan informasi sertifikat baru, klien tidak dapat terhubung menggunakan SSL/TLS ke instance Anda. Jika ini terjadi, Anda dapat melakukan roll back ke konfigurasi sertifikat sebelumnya.

Operasi rollback akan memindahkan sertifikat aktif ke slot "mendatang", yang menggantikan sertifikat "mendatang" apa pun. Sertifikat "sebelumnya" akan menjadi sertifikat aktif dan mengembalikan konfigurasi sertifikat ke keadaan sebelumnya sebelum Anda menyelesaikan rotasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Pilih tab Keamanan.
  5. Klik untuk meluaskan Kelola sertifikat.
  6. Pilih Rollback sertifikat server.

    Jika tidak ada sertifikat yang memenuhi syarat, opsi rollback tidak tersedia.

  7. Pada dialog Konfirmasi rollback sertifikat, pilih Rollback.

    Rollback mungkin memerlukan waktu beberapa detik untuk selesai.

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Mencantumkan sertifikat server Anda.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Salin kolom sha1Fingerprint untuk versi yang ingin Anda roll back.

    Cari versi dengan nilai createTime yang lebih awal sebelum versi dengan nilai sha1Fingerprint yang ditunjukkan sebagai activeVersion.

  3. Roll back rotasi.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Meminta isi JSON: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

REST v1beta4

  1. Mencantumkan sertifikat server Anda.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

  2. Salin kolom sha1Fingerprint untuk versi yang ingin Anda roll back.

    Cari versi dengan nilai createTime yang lebih awal sebelum versi dengan nilai sha1Fingerprint yang ditunjukkan sebagai activeVersion.

  3. Roll back rotasi.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: project ID
    • INSTANCE_ID: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Meminta isi JSON: 

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Melihat konten sertifikat CA

Anda dapat menggunakan utilitas openssl storeutl untuk melihat konten sertifikat CA.

Saat menjalankan perintah sql ssl server-certs list, Anda akan selalu mendapatkan beberapa sertifikat CA karena rantai kepercayaan. Anda juga mungkin mendapatkan beberapa sertifikat CA dari operasi terkait rotasi sebelumnya.

gcloud

  1. Jalankan perintah berikut: 
    gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Ganti INSTANCE_NAME dengan nama instance.

  2. Gunakan openssl untuk memeriksa konten sertifikat CA.
    3. openssl storeutl -noout -text temp_cert.pem

Mendownload paket sertifikat CA root dan regional untuk CA bersama

Jika menggunakan konfigurasi CA bersama yang dikelola Google, Anda dapat mendownload paket sertifikat CA root dan regional dari tabel berikut.

Paket sertifikat ini tidak berlaku untuk instance yang menggunakan opsi CA yang dikelola pelanggan atau per instance.

Nama region Lokasi Paket sertifikat
Global
CA untuk semua wilayah Semua lokasi global.pem
Asia
asia-east1 Taiwan asia-east1.pem
asia-east2 Hong Kong asia-east2.pem
asia-northeast1 Tokyo asia-northeast1.pem
asia-northeast2 Osaka asia-northeast2.pem
asia-northeast3 Seoul asia-northeast3.pem
asia-south1 Mumbai asia-south1.pem
asia-south2 Delhi asia-south2.pem
asia-southeast1 Singapura asia-southeast1.pem
asia-southeast2 Jakarta asia-southeast2.pem
Afrika
africa-south1 Johannesburg africa-south1.pem
Australia
australia-southeast1 Sydney australia-southeast1.pem
australia-southeast2 Melbourne australia-southeast2.pem
Eropa
europe-central2 Warsawa europe-central2.pem
europe-north1 Finlandia europe-north1.pem
europe-north2 Stockholm europe-north2.pem
europe-southwest1 Madrid europe-southwest1.pem
europe-west1 Belgia europe-west1.pem
europe-west2 London europe-west2.pem
europe-west3 Frankfurt europe-west3.pem
europe-west4 Belanda europe-west4.pem
europe-west6 Zürich europe-west6.pem
europe-west8 Milan europe-west8.pem
europe-west9 Paris europe-west9.pem
europe-west10 Berlin europe-west10.pem
europe-west12 Turin europe-west12.pem
Timur Tengah
me-central1 Doha me-central1.pem
me-central2 Dammam me-central2.pem
me-west1 Tel Aviv me-west1.pem
Amerika Utara
northamerica-northeast1 Montréal northamerica-northeast1.pem
northamerica-northeast2 Toronto northamerica-northeast2.pem
northamerica-south1 Meksiko northamerica-south1.pem
us-central1 Iowa us-central1.pem
us-east1 Carolina Selatan us-east1.pem
us-east4 Northern Virginia us-east4.pem
us-east5 Columbus us-east5.pem
us-south1 Dallas us-south1.pem
us-west1 Oregon us-west1.pem
us-west2 Los Angeles us-west2.pem
us-west3 Salt Lake City us-west3.pem
us-west4 Las Vegas us-west4.pem
Amerika Selatan
southamerica-east1 Sao Paulo southamerica-east1.pem
southamerica-west1 Santiago southamerica-west1.pem

Mereset konfigurasi SSL/TLS

Anda dapat sepenuhnya mereset konfigurasi SSL/TLS.

Konsol

  1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

    Buka Instance Cloud SQL

  2. Untuk membuka halaman Ringkasan instance, klik nama instance.
  3. Pilih Koneksi dari menu navigasi SQL.
  4. Buka bagian Reset konfigurasi SSL.
  5. Klik Reset Konfigurasi SSL.

gcloud

  1. Muat ulang sertifikat:

    gcloud sql instances reset-ssl-config INSTANCE_NAME

REST v1beta4

  1. Muat ulang sertifikat:

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • project-id: ID project
    • instance-id: ID instance

    Metode HTTP dan URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan menerima respons JSON yang mirip dengan yang berikut ini:

Langkah berikutnya