Configurazione dei certificati SSL/TLS

Questa pagina descrive come applicare la crittografia SSL/TLS per un'istanza per garantire che tutte le connessioni siano criptate. Puoi anche scoprire di più su come Cloud SQL utilizza i certificati SSL/TLS autogestiti per connettersi in modo sicuro alle istanze Cloud SQL.

Panoramica

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Ti consigliamo di imporre l'utilizzo di SSL/TLS per tutte le connessioni.

Per convalidare l'identità client/server utilizzando i certificati SSL/TLS, devi creare un certificato client e scaricare i certificati sulla macchina host del client MySQL.

Se applichi SSL per un'istanza, questa richiede un riavvio. Potrebbe essere necessario riavviare il server anche dopo aver modificato i certificati SSL/TLS. Quando è necessario un riavvio, Cloud SQL riavvia automaticamente l'istanza. Il riavvio di un'istanza può causare tempi di inattività.

Applicare la crittografia SSL/TLS

Puoi utilizzare l'impostazione Modalità SSL per applicare la crittografia SSL nei seguenti modi:

  • Consenti connessioni non SSL/non TLS e SSL/TLS. Il certificato client non viene verificato per le connessioni SSL/TLS. Questa è l'impostazione predefinita.

  • Consenti solo connessioni criptate con SSL/TLS. Il certificato client non è verificato per le connessioni SSL.

  • Consenti solo connessioni criptate con SSL/TLS e con certificati client validi.

Se selezioni Consenti connessioni non SSL/non TLS e SSL/TLS per la tua istanza Cloud SQL, le connessioni SSL/TLS vengono accettate, così come le connessioni non criptate e non protette. Se non richiedi SSL/TLS per tutte le connessioni, le connessioni non criptate sono comunque consentite. Per questo motivo, se accedi alla tua istanza utilizzando l'IP pubblico, ti consigliamo vivamente di applicare SSL per tutte le connessioni.

Puoi connetterti direttamente alle istanze utilizzando i certificati SSL/TLS oppure puoi connetterti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL. Se ti connetti utilizzando il proxy di autenticazione Cloud SQL o i connettori Cloud SQL, le connessioni vengono criptate automaticamente con SSL/TLS. Con il proxy di autenticazione Cloud SQL e i connettori Cloud SQL, vengono verificate automaticamente anche le identità client e server, indipendentemente dall'impostazione della modalità SSL.

Per abilitare l'obbligo di SSL/TLS:

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Seleziona una delle seguenti opzioni:
    • Consenti il traffico di rete non criptato (opzione non consigliata)
    • Consenti solo connessioni SSL. Questa opzione consente solo connessioni che utilizzano la crittografia SSL/TLS. I certificati non sono convalidati.
    • Richiedi certificati client attendibili. Questa opzione consente solo connessioni da client che utilizzano un certificato client valido e sono criptate con SSL.

gcloud

   gcloud sql instances patch INSTANCE_NAME \
   --ssl-mode=SSL_ENFORCEMENT_MODE

Sostituisci SSL_ENFORCEMENT_MODE con una delle seguenti opzioni:

  • ALLOW_UNENCRYPTED_AND_ENCRYPTED consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non viene verificato. Questo è il valore predefinito.
  • ENCRYPTED_ONLY consente solo connessioni criptate con SSL/TLS. Il certificato client non viene verificato per le connessioni SSL.
  • TRUSTED_CLIENT_CERTIFICATE_REQUIRED consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • Per ulteriori informazioni, consulta Impostazioni per Cloud SQL per MySQL.

Terraform

Per applicare la crittografia SSL/TLS, utilizza una risorsa Terraform: 

resource "google_sql_database_instance" "mysql_instance" {
  name             = "mysql-instance"
  region           = "asia-northeast1"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    ip_configuration {
      # The following SSL enforcement options only allow connections encrypted with SSL/TLS and with
      # valid client certificates. Please check the API reference for other SSL enforcement options:
      # https://cloud.google.com/sql/docs/postgres/admin-api/rest/v1beta4/instances#ipconfiguration
      ssl_mode = "TRUSTED_CLIENT_CERTIFICATE_REQUIRED"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

Applica le modifiche

Per applicare la configurazione di Terraform in un progetto Google Cloud , completa i passaggi nelle sezioni seguenti.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi eseguirlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere la propria directory (chiamata anche modulo radice).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file viene denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    (Facoltativo) Copia il codice da GitHub. Questa operazione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Rivedi e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi effettuare questa operazione una sola volta per directory. 
    terraform init

    (Facoltativo) Per utilizzare l'ultima versione del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform creerà o aggiornerà corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

    Attendi che Terraform visualizzi il messaggio "Apply complete!" (Applicazione completata).

  3. Apri il tuo Google Cloud progetto per visualizzare i risultati. Nella console Google Cloud , vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disattivare la protezione dall'eliminazione, imposta l'argomento deletion_protection su false nel file di configurazione Terraform. 
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il comando seguente e inserendo yes al prompt: 
    terraform apply

  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

REST v1

  1. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non viene verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    
{
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

REST v1beta4

  1. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • SSL_ENFORCEMENT_MODE: utilizza una delle seguenti opzioni:
      • ALLOW_UNENCRYPTED_AND_ENCRYPTED: consente connessioni non SSL/non TLS e SSL/TLS. Per le connessioni SSL, il certificato client non viene verificato. Questo è il valore predefinito.
      • ENCRYPTED_ONLY: consente solo connessioni criptate con SSL/TLS.
      • TRUSTED_CLIENT_CERTIFICATE_REQUIRED: consente solo connessioni criptate con SSL/TLS e con certificati client validi.
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL: 

    PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID

    Corpo JSON della richiesta: 

    {
  "settings": {
    "ipConfiguration": {"sslMode": "SSL_ENFORCEMENT_MODE"}
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

Certificati server

Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Finché il certificato server è valido, non devi gestirlo attivamente. Cloud SQL ti consente di scegliere tra tre diverse gerarchie di autorità di certificazione (CA). La gerarchia CA selezionata diventa la modalità CA server dell'istanza. Se utilizzi la CA per istanza come modalità CA server per la tua istanza, i certificati del server hanno una data di scadenza di 10 anni. Se utilizzi la CA condivisa o la CA gestita dal cliente come modalità CA server della tua istanza, il certificato del server ha una data di scadenza di 1 anno*. Dopo la data di scadenza, il certificato del server non è più valido e i client non possono più stabilire una connessione sicura alla tua istanza utilizzando quel certificato. Se un client è configurato per verificare la CA o il nome host nel certificato del server, le connessioni del client alle istanze Cloud SQL con certificati del server scaduti non andranno a buon fine. Per evitare interruzioni delle connessioni client, ruota il certificato del server prima della sua scadenza. Ricevi periodicamente una notifica che ti informa che il certificato del server sta per scadere. Le notifiche vengono inviate il seguente numero di giorni prima della data di scadenza: 90, 30, 10, 2 e 1.

* Per la CA gestita dal cliente, la data di scadenza del certificato del server potrebbe essere inferiore a un anno se hai selezionato una data di scadenza più breve per il periodo di validità della CA.

Elencare e creare certificati server

Per visualizzare i dettagli dei certificati del server nella console Google Cloud , vai alla pagina Connessioni e fai clic sulla scheda Sicurezza.

Nella tabella dei certificati puoi vedere i seguenti dettagli:

  • Stato del certificato:In arrivo, Attivo o Precedente
    • In arrivo: il certificato è disponibile per l'uso, ma non è attivo. Per attivare il certificato, utilizza la procedura di rotazione.
    • Attivo: il certificato è in uso.
    • Precedente: il certificato non è più in uso. Per attivare il certificato, utilizza la procedura di rollback.
  • Creato: la data e l'ora di creazione del certificato
  • Scadenza: la data e l'ora di scadenza del certificato

Prima della scadenza del certificato attivo, puoi crearne uno nuovo manualmente.

Console

Per le istanze che utilizzano certificati server autofirmati (CA per istanza):

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Vai alla sezione Gestisci i certificati CA del server.
  6. Fai clic per espandere Gestisci certificati.
  7. Fai clic su Crea nuovo certificato CA.

Il nuovo certificato CA del server viene visualizzato nello spazio In arrivo. Se vuoi passare immediatamente al nuovo certificato CA del server, procedi con la rotazione del certificato CA del server aggiornando i client e completando la rotazione.

Per le istanze che utilizzano certificati server emessi da una CA condivisa:

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Vai alla sezione Gestisci certificati server.
  6. Fai clic per espandere Gestisci certificati.
  7. Fai clic su Crea certificato server.

Il nuovo certificato server viene visualizzato nello spazio In arrivo. Se vuoi utilizzare immediatamente il nuovo certificato del server, procedi con la rotazione del certificato del server aggiornando i client e completando la rotazione.

gcloud

Per le istanze che utilizzano certificati server autofirmati (CA per istanza):

  1. Per ottenere informazioni sul certificato del server, utilizza il comando sql ssl server-ca-certs list: 
    gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME
  2. Per creare un certificato server, utilizza il comando sql ssl server-ca-certs create: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale: 
    gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i tuoi client in modo che utilizzino le nuove informazioni copiando il file scaricato nelle macchine host dei client e sostituendo i file server-ca.pem esistenti.

Per le istanze che utilizzano certificati server emessi da una CA condivisa:

  1. Per ottenere informazioni sul certificato del server, utilizza il comando sql ssl server-certs list: 
    gcloud sql ssl server-certs list \
   --instance=INSTANCE_NAME
  2. Per creare un certificato server, utilizza il comando sql ssl server-certs create: 
    gcloud sql ssl server-certs create \
   --instance=INSTANCE_NAME
  3. Scarica le informazioni del certificato in un file PEM locale: 
    gcloud sql ssl server-certs list \
   --format="value(ca_cert.cert)" \
   --instance=INSTANCE_NAME > \
   FILE_PATH/FILE_NAME.pem
  4. Aggiorna tutti i tuoi client in modo che utilizzino le nuove informazioni copiando il file scaricato nelle macchine host dei client e sostituendo i file server-ca.pem esistenti.

Terraform

Per fornire le informazioni sul certificato del server come output, utilizza un'origine dati Terraform:

  1. Aggiungi quanto segue al file di configurazione Terraform: 
       data "google_sql_ca_certs" "ca_certs" {
     instance = google_sql_database_instance.default.name
   }

   locals {
     furthest_expiration_time = reverse(sort([for k, v in data.google_sql_ca_certs.ca_certs.certs : v.expiration_time]))[0]
     latest_ca_cert           = [for v in data.google_sql_ca_certs.ca_certs.certs : v.cert if v.expiration_time == local.furthest_expiration_time]
   }

   output "db_latest_ca_cert" {
     description = "Latest CA certificate used by the primary database server"
     value       = local.latest_ca_cert
     sensitive   = true
   }
  2. Per creare il file server-ca.pem, esegui questo comando: 
       terraform output db_latest_ca_cert > server-ca.pem

Certificati client

Crea un nuovo certificato client

Puoi creare fino a 10 certificati client per ogni istanza. Per creare certificati client, devi disporre del ruolo IAM Cloud SQL Admin.

Di seguito sono riportati alcuni aspetti importanti da sapere sui certificati client:

  • Se perdi la chiave privata di un certificato, devi crearne una nuova. La chiave privata non può essere recuperata.
  • Per impostazione predefinita, il certificato client ha una data di scadenza di 10 anni.
  • Non ricevi notifiche quando i certificati client stanno per scadere.
  • Per creare un certificato SSL, l'istanza Cloud SQL deve essere in esecuzione.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Connessioni nel menu di navigazione SQL.
  4. Seleziona la scheda Sicurezza.
  5. Fai clic su Crea certificato client.
  6. Nella finestra di dialogo Crea un certificato client, aggiungi un nome univoco.
  7. Fai clic su Crea.
  8. Nella prima sezione della finestra di dialogo Nuovo certificato SSL creato, fai clic su Scarica client-key.pem per scaricare la chiave privata in un file denominato client-key.pem.
  9. Nella seconda sezione, fai clic su Scarica client-cert.pem per scaricare il certificato client in un file denominato client-cert.pem.
  10. Nella terza sezione, fai clic su Scarica server-ca.pem per scaricare il certificato server in un file denominato server-ca.pem.
  11. Fai clic su Chiudi.

gcloud

  1. Crea un certificato client utilizzando il comando ssl client-certs create:

    gcloud sql ssl client-certs create CERT_NAME client-key.pem \
--instance=INSTANCE_NAME

  2. Recupera la chiave pubblica per il certificato appena creato e copiala nel file client-cert.pem con il comando ssl client-certs describe:

    gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

  3. Copia il certificato del server nel file server-ca.pem utilizzando il comando instances describe:

    gcloud sql instances describe INSTANCE_NAME \
--format="value(serverCaCert.cert)" > server-ca.pem

Terraform

Per creare un certificato client, utilizza una risorsa Terraform: 

resource "google_sql_ssl_cert" "mysql_client_cert" {
  common_name = "mysql_common_name"
  instance    = google_sql_database_instance.mysql_instance.name
}

REST v1

  1. Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: il nome del certificato client

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta: 

    {
  "commonName" : "client-cert-name"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutto il contenuto del certificato tra le virgolette (ma non le virgolette stesse) dalla risposta nei file locali nel seguente modo:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

  3. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • activation-policy: i criteri di attivazione sono SEMPRE o MAI

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/restart

    Corpo JSON della richiesta: 

    {
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

  1. Crea un certificato SSL/TLS, assegnandogli un nome univoco per questa istanza:

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • client-cert-name: il nome del certificato client

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts

    Corpo JSON della richiesta: 

    {
  "commonName" : "client-cert-name"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

  2. Copia tutto il contenuto del certificato tra le virgolette (ma non le virgolette stesse) dalla risposta nei file locali nel seguente modo:
    1. Copia serverCaCert.cert in server-ca.pem.
    2. Copia clientCert.cert in client-cert.pem.
    3. Copia certPrivateKey in client-key.pem.

  3. Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • project-id: l'ID progetto
    • instance-id: l'ID istanza
    • activation-policy: i criteri di attivazione sono SEMPRE o MAI

    Metodo HTTP e URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/restart

    Corpo JSON della richiesta: 

    {
  "settings": {
    "activationPolicy": "activation-policy"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "RESTART",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

A questo punto, hai:

  • Un certificato del server salvato come server-ca.pem.
  • Un certificato di chiave pubblica client salvato come client-cert.pem.
  • Una chiave privata del client salvata come client-key.pem.

A seconda dello strumento utilizzato per la connessione, questi tre elementi vengono specificati in modi diversi. Ad esempio, quando ti connetti utilizzando il client MySQL, questi tre file sono i valori delle opzioni di comando --ssl-ca, --ssl-cert e --ssl-key, rispettivamente. Per un esempio di connessione utilizzando il client MySQL e SSL/TLS, consulta Connessione con il client MySQL.

Verifica dell'identità del server

La verifica dell'identità del server dipende dalla configurazione della gerarchia dell'autorità di certificazione (CA) della tua istanza Cloud SQL.

Per le istanze che utilizzano una CA per istanza, la verifica della CA verifica anche l'identità del server, poiché ogni istanza ha una CA univoca. Per le istanze che utilizzano una CA condivisa, la verifica del nome host insieme alla verifica della CA è necessaria per la verifica dell'identità del server, poiché le CA del server sono condivise tra le istanze.

Se hai una CA per istanza, puoi eseguire la verifica dell'identità del server basata sul nome DNS solo per le istanze configurate con Private Service Connect. Se hai una CA condivisa, puoi eseguire la verifica dell'identità del server basata sul nome DNS per tutti i tipi di istanze, ovvero Private Service Connect, accesso privato ai servizi e istanze IP pubbliche.

Se utilizzi una CA gestita dal cliente, puoi verificare la catena di attendibilità della CA ed eseguire la verifica dell'identità del server basata sul nome DNS per qualsiasi tipo di istanza che utilizza la CA gestita dal cliente per il suo serverCAmode.

Quando selezioni l'opzione CA gestita dal cliente per la tua istanza, puoi inserire nomi DNS personalizzati nel campo SAN del certificato del server. Per ulteriori informazioni, vedi Modificare un campo SAN personalizzato.

Puoi visualizzare la gerarchia CA configurata per un'istanza Cloud SQL visualizzando i dettagli dell'istanza. Per saperne di più, consulta Visualizzare le informazioni sull'istanza.

Abilitare la verifica dell'identità del server

Se selezioni l'autorità di certificazione condivisa come modalità dell'autorità di certificazione del server della tua istanza Cloud SQL o se configuri nomi DNS personalizzati utilizzando valori SAN personalizzati, ti consigliamo di attivare anche la verifica dell'identità del server.

Le istanze che utilizzano la CA condivisa come modalità CA server contengono il nome DNS dell'istanza nel campo Nome alternativo del soggetto (SAN) del certificato server. Puoi ottenere questo nome DNS utilizzando l'API di ricerca delle istanze e utilizzando la risposta come nome host per la verifica dell'identità del server. Devi configurare la risoluzione DNS per il nome DNS.

Per attivare la verifica dell'identità del server per un'istanza che utilizza una CA condivisa, completa i seguenti passaggi:

  1. Recupera il nome DNS.

    1. Per visualizzare le informazioni di riepilogo su un'istanza Cloud SQL, incluso il nome DNS dell'istanza, utilizza il comando gcloud sql instances describe:

      gcloud sql instances describe INSTANCE_NAME \
  --project=PROJECT_ID

      Effettua le seguenti sostituzioni:

      • INSTANCE_NAME: il nome dell'istanza Cloud SQL
      • PROJECT_ID: l'ID o il numero di progetto del progetto Google Cloud che contiene l'istanza

    2. Nella risposta, cerca il campo dnsNames:. Questo campo può restituire più nomi DNS, che hanno i seguenti formati:

      Configurazione di rete Formato del nome DNS Livello del nome
      Private Service Connect o indirizzo IP pubblico INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql.goog.

      Esempio:
      1a23b4cd5e67.1a2b345c6d27.us-central1.sql.goog.       		Istanza
      Accesso privato ai servizi INSTANCE_UID.PROJECT_DNS_LABEL.REGION_NAME.sql-psa.goog.

      Esempio:
      1a23b4cd5e67.1a2b345c6d27.us-central1.sql-psa.goog.       		Istanza

  2. Crea il record DNS in una zona DNS. Se ti connetti privatamente, crea il record DNS in una zona DNS privata nella rete Virtual Private Cloud (VPC) corrispondente.

  3. Quando ti connetti all'istanza Cloud SQL per MySQL, configura il nome DNS come nome host. Poi attiva la verifica dell'identità del server nel client.

    Ad esempio, quando utilizzi il client MySQL, specifica il flag --ssl-mode=VERIFY_IDENTITY. Altri driver client MySQL hanno flag di configurazione simili.

Passaggi successivi