Administrar certificados SSL/TLS

En esta página, se describe cómo administrar los certificados de la AC del servidor.

Usa conexiones encriptadas

Obtén más información sobre cómo SQL Server usa las conexiones encriptadas.

Administra certificados de la AC del servidor (AC por instancia)

En esta sección, se describe cómo administrar certificados de la AC del servidor que Cloud SQL crea de forma interna. Este es el modo de CA del servidor predeterminado en Cloud SQL. En esta jerarquía de autoridad certificadora, Cloud SQL crea una AC del servidor para cada instancia.

Rota los certificados de la AC del servidor

Si recibiste una notificación sobre el vencimiento de los certificados o si deseas iniciar una rotación, sigue estos pasos para completar la rotación. Antes de comenzar la rotación, debes tener una nueva CA del servidor en la instancia. Si ya se creó una CA de servidor nueva, puedes omitir el primer paso del procedimiento siguiente.

  1. Crea una CA de servidor nueva.
  2. Descarga la información del nuevo certificado de la AC del servidor:
  3. Actualiza los clientes que usan la información del nuevo certificado de la AC del servidor.
  4. Completa la rotación, que traslada el certificado activo a la ranura “anterior” y actualiza el certificado que se agregó recientemente para que sea el certificado activo.

Console

Descarga el nuevo certificado de la AC del servidor, codificado como archivo PEM, a tu entorno local:

  1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Selecciona la pestaña Seguridad.
  5. Haz clic para expandir Administrar certificados.
  6. Selecciona Rotate CA certificate.

    Si no hay certificados aptos, la opción de rotación no estará disponible. Debes crear un certificado de la AC del servidor nuevo.

  7. Haz clic en Descargar certificados.

Actualiza todos tus clientes de SQL Server para usar la información nueva. Para ello, copia el archivo descargado en tus máquinas anfitrionas de cliente y reemplaza el archivo server-ca.pem existente.

Una vez que actualizaste los clientes, completa la rotación.

  1. Regresa a la pestaña Seguridad.
  2. Haz clic para expandir Administrar certificados.
  3. Selecciona Rotate CA certificate.
  4. Confirma que tus clientes se conectan correctamente.

    5. Si alguno de los clientes no se conecta a través del certificado que se acaba de rotar, puedes hacer clic en Rollback CA certificate para revertirlo a la configuración anterior.

gcloud

  1. Crea un certificado de la AC del servidor: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE
  2. Descarga la información del certificado a un archivo PEM local: 
    gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem
  3. Actualiza todos los clientes a fin de usar la información nueva. Para ello, copia el archivo descargado en las máquinas anfitrionas de cliente y reemplaza los archivos server-ca.pem existentes.
  4. Una vez que actualizaste los clientes, completa la rotación. 
    gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME
  5. Confirma que tus clientes se conectan correctamente.

    6. Si algún cliente no se puede conectar a través del certificado que se acaba de rotar, puedes revertirlo a la configuración anterior.

REST v1

  1. Descarga los certificados de la AC del servidor:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Completa la rotación:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

REST v1beta4

  1. Descarga los certificados de la AC del servidor:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Completa la rotación:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Si recibes un error cuando intentas rotar un certificado que dice No upcoming/previous Server CA Certificate exists, verifica que estés ejecutando el comando en una instancia que usa la jerarquía de CA por instancia. Puedes ver qué jerarquía de AC está configurada para una instancia de Cloud SQL con el comando gcloud sql instances describe. Para obtener más información, consulta la documentación sobre cómo ver información de instancias.

Revierte una operación de rotación de un certificado

Una vez que completas una rotación de certificado, todos tus clientes deben usar el certificado nuevo para conectarse a tu instancia de Cloud SQL. Si los clientes no se actualizan correctamente para que usen la información del certificado nuevo, no pueden conectarse con SSL/TLS a tu instancia. Si esto sucede, puedes revertir a la configuración anterior del certificado.

Una operación de reversión mueve el certificado activo a la ranura "próximo" (para reemplazar cualquier "próximo" certificado). El certificado "anterior" se convierte en el certificado activo y la configuración del certificado vuelve al estado que tenía antes de que completaras la rotación.

Para revertir a la configuración anterior de certificado, realiza los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Selecciona la pestaña Seguridad.
  5. Haz clic para expandir Administrar certificados.
  6. Selecciona Rollback CA certificate.

    Si no hay certificados aptos, la opción de reversión no estará disponible. De lo contrario, la reversión se completará después de unos segundos.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Descarga los certificados de la AC del servidor:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Copia el campo sha1Fingerprint de la versión a la que quieres revertir.

    Busca la versión que tenga un valor createTime inmediatamente anterior a la versión que tiene el valor sha1Fingerprint que se muestra como activeVersion.

  3. Revierte la rotación:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Cuerpo JSON de la solicitud:

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

REST v1beta4

  1. Descarga los certificados de la AC del servidor:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Copia el campo sha1Fingerprint de la versión a la que quieres revertir.

    Busca la versión que tenga un valor createTime inmediatamente anterior a la versión que tiene el valor sha1Fingerprint que se muestra como activeVersion.

  3. Revierte la rotación:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Cuerpo JSON de la solicitud:

    {
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Si recibes un error cuando intentas revertir una rotación de CA de certificado que indica No upcoming/previous Server CA Certificate exists, verifica que estés ejecutando el comando en una instancia que usa la jerarquía de CA por instancia. Puedes ver qué jerarquía de AC está configurada para una instancia de Cloud SQL con el comando gcloud sql instances describe. Para obtener más información, consulta la documentación sobre cómo ver información de instancias.

Inicia una rotación

No es necesario que esperes hasta recibir el correo electrónico de Cloud SQL para iniciar una rotación. Puedes hacerlo en cualquier momento. Cuando inicias una rotación, se crea un certificado nuevo que se posiciona en la ranura "próximo". Si ya hay un certificado en la ranura "próximo" en el momento de la solicitud, ese certificado se borrará. Solo puede haber un certificado próximo.

Para iniciar la rotación, realiza los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Selecciona la pestaña Seguridad.
  5. Haz clic para expandir Administrar certificados.
  6. Haz clic en Create new CA certificate.
  7. Selecciona Rotate CA certificate.

    Si no hay certificados aptos, la opción de rotación no estará disponible.

  8. Completa la rotación como se describe en Rota los certificados de la AC del servidor.

gcloud

  1. Inicia la rotación: 
    gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME
  2. Completa la rotación como se describe en Rota los certificados de la AC del servidor.

REST v1

  1. Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Completa la rotación como se describe en Rota los certificados de la AC del servidor.

REST v1beta4

  1. Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Completa la rotación como se describe en Rota los certificados de la AC del servidor.

Obtén información acerca un certificado de la AC del servidor

Puedes obtener información sobre tu certificado de la AC del servidor, por ejemplo, la fecha de vencimiento o el nivel de encriptación que proporciona.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Selecciona la pestaña Seguridad.

    En Manage server CA certificates, puedes ver la fecha de vencimiento de tu certificado de la AC del servidor en la tabla.

    Para ver el tipo de certificado, usa el comando gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

Cuando describes tu instancia, puedes ver los detalles sobre el certificado de la AC del servidor:

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • project-id: el ID del proyecto
  • instance-id: Es el ID de la instancia.

Método HTTP y URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

REST v1beta4

Cuando describes tu instancia, puedes ver los detalles sobre el certificado de la AC del servidor:

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • project-id: el ID del proyecto
  • instance-id: Es el ID de la instancia.

Método HTTP y URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Visualiza el contenido de los certificados de la AC

Puedes usar openssl storeutl para ver el contenido de los certificados de la AC.

Cuando ejecutas el comando sql ssl server-ca-certs list, puedes obtener varios certificados de la AC de operaciones anteriores relacionadas con la rotación.

gcloud

  1. Ejecuta el siguiente comando: 
    gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Reemplaza INSTANCE_NAME por el nombre de la instancia.

  2. Usa openssl para examinar el contenido de los certificados de la AC.
    3. openssl storeutl -noout -text temp_cert.pem

Consulta el contenido de un certificado de servidor

Puedes usar nmap para ver el contenido de los certificados de servidor. Para descargar e instalar nmap, visita https://nmap.org/.

gcloud

Para ver el contenido del certificado de servidor, ejecuta el siguiente comando:

nmap -sV -p 1433 --script ssl-cert INSTANCE_IP_ADDRESS -Pn

Reemplaza INSTANCE_IP_ADDRESS por la dirección IP de la instancia.

Administrar certificados de servidor (CA compartida y CA administrada por el cliente)

En esta sección, se describe cómo administrar certificados de servidor en instancias que usan AC compartidas o administradas por el cliente.

Puedes habilitar el uso de AC compartidas como el modo de AC del servidor para tu instancia si especificas GOOGLE_MANAGED_CAS_CA en la configuración de serverCaMode (API de Administrador de Cloud SQL) o la marca --server-ca-mode (gcloud CLI) cuando creas tu instancia.

Si quieres usar la AC administrada por el cliente como el modo de AC del servidor en tu instancia, debes especificar CUSTOMER_MANAGED_CAS_CA para la configuración de serverCaMode (API de Administrador de Cloud SQL) o la marca --server-ca-mode (gcloud CLI) cuando creas tu instancia, y debes tener un grupo de AC y una AC válidos. Para obtener más información, consulta Usa una AC administrada por el cliente.

Rota certificados de servidor

Si recibiste una notificación sobre el vencimiento de los certificados de tu servidor o si deseas iniciar una rotación, sigue estos pasos para completarla. Antes de comenzar la rotación, debe haber un nuevo certificado de servidor creado para la próxima rotación. Si ya hay un nuevo certificado de servidor creado para la próxima rotación, puedes omitir el primer paso del procedimiento siguiente.

Para rotar el certificado de servidor en tu instancia, sigue estos pasos:

  1. Si necesitas un certificado de servidor nuevo, crea uno.

  2. Si tus clientes ya confían en el paquete de AC regional más reciente, este paso es opcional. Sin embargo, si necesitas actualizar a tus clientes con información de la AC del servidor, haz lo siguiente:

    1. Descarga la información más reciente de la AC del servidor.
    2. Actualiza tus clientes para que usen la información más reciente de la AC del servidor.

  3. Para completar la rotación, mueve el certificado activo a la ranura anterior y actualiza el certificado nuevo para que sea el activo.

Console

No puedes usar la consola de Google Cloud para rotar los certificados de servidor en instancias que usan el servicio de CA durante la vista previa. En su lugar, usa el comando gcloud beta sql ssl server-certs rotate o los comandos de la API de Administrador de Cloud SQL.

gcloud

  1. Para crear un certificado de servidor, usa el siguiente comando: 
    gcloud beta sql ssl server-certs create \
--instance=INSTANCE
    2. Reemplaza INSTANCE por el nombre de la instancia.
  2. Asegúrate de usar el paquete de AC más reciente. Si no usas el paquete de AC más reciente, ejecuta el siguiente comando para descargar la información más reciente de la AC del servidor de la instancia en un archivo PEM local: 
    gcloud beta sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem

    También puedes descargar los paquetes de AC de la tabla de paquetes de certificados de AC raíz y regional en esta página.

    Luego, actualiza todos tus clientes para que usen la nueva información de la AC del servidor. Para ello, copia el archivo descargado en las máquinas anfitrionas de cliente y reemplaza los archivos server-ca.pem existentes.

  3. Después de actualizar todos los clientes (si se requieren actualizaciones de cliente), completa la rotación: 
    gcloud beta sql ssl server-certs rotate \
--instance=INSTANCE_NAME

  4. Confirma que tus clientes se conectan correctamente.

    Si algún cliente no se puede conectar con el certificado de servidor que se acaba de rotar, revierte a la configuración anterior.

REST v1

  1. Crea un certificado de servidor.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Si necesitas descargar la información del certificado de la AC del servidor, puedes usar el siguiente comando.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  3. Completa la rotación.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

REST v1beta4

  1. Crea un certificado de servidor.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Si necesitas descargar la información del certificado de la AC del servidor, puedes usar el siguiente comando.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  3. Completa la rotación.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Revierte una rotación de certificados

Después de completar una rotación de certificado de servidor, todos tus clientes deben usar el certificado nuevo para conectarse a tu instancia de Cloud SQL. Si los clientes no se actualizan correctamente para que usen la información del certificado nuevo, no pueden conectarse con SSL/TLS a tu instancia. Si esto sucede, puedes revertir a la configuración anterior del certificado.

Una operación de reversión mueve el certificado activo a la ranura “próximo”, que reemplaza cualquier certificado “próximo”. El certificado “anterior” se convierte en el certificado activo y devuelve la configuración del certificado a su estado anterior antes de que completaras la rotación.

Console

No puedes usar la consola de Google Cloud para revertir los certificados de servidor en instancias que usan el servicio de CA durante la vista previa. En su lugar, usa el comando gcloud beta sql ssl server-certs rollback o los comandos de la API de Administrador de Cloud SQL.

gcloud

gcloud beta sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

  1. Obtén una lista de tus certificados de servidor.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Copia el campo sha1Fingerprint de la versión a la que quieres revertir.

    Busca la versión con un valor createTime inmediatamente anterior a la versión con el valor sha1Fingerprint que se muestra como activeVersion.

  3. Revierte la rotación.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Cuerpo JSON de la solicitud:

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

REST v1beta4

  1. Obtén una lista de tus certificados de servidor.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

  2. Copia el campo sha1Fingerprint de la versión a la que quieres revertir.

    Busca la versión con un valor createTime inmediatamente anterior a la versión con el valor sha1Fingerprint que se muestra como activeVersion.

  3. Revierte la rotación.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: el ID del proyecto
    • INSTANCE_ID: El ID de la instancia

    Método HTTP y URL: 

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

    Cuerpo JSON de la solicitud:

    {
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Visualiza el contenido de los certificados de la AC

Puedes usar la utilidad openssl storeutl para ver el contenido de los certificados de la AC.

Cuando ejecutas el comando beta sql ssl server-certs list, siempre obtienes varios certificados de la AC debido a la cadena de confianza. También puedes obtener varios certificados de la AC de operaciones anteriores relacionadas con la rotación.

gcloud

  1. Ejecuta el siguiente comando: 
    gcloud beta sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

    Reemplaza INSTANCE_NAME por el nombre de la instancia.

  2. Usa openssl para examinar el contenido de los certificados de la AC.
    3. openssl storeutl -noout -text temp_cert.pem

Descarga paquetes de certificados de la AC raíz y regional para una AC compartida

Si usas una configuración de AC compartida administrada por Google, puedes descargar los paquetes de certificados de AC raíz y regionales de la siguiente tabla.

Estos paquetes de certificados no se aplican a instancias que usan las opciones por instancia o de AC administrada por el cliente.

Nombre de la región Ubicación Paquete de certificados
Global
AC para todas las regiones Todas las ubicaciones global.pem
Asia
asia-east1 Taiwán asia-east1.pem
asia-east2 Hong Kong asia-east2.pem
asia-northeast1 Tokio asia-northeast1.pem
asia-northeast2 Osaka asia-northeast2.pem
asia-northeast3 Seúl asia-northeast3.pem
asia-south1 Bombay asia-south1.pem
asia-south2 Delhi asia-south2.pem
asia-southeast1 Singapur asia-southeast1.pem
asia-southeast2 Yakarta asia-southeast2.pem
África
africa-south1 Johannesburgo africa-south1.pem
Australia
australia-southeast1 Sídney australia-southeast1.pem
australia-southeast2 Melbourne australia-southeast2.pem
Europa
europe-central2 Varsovia europe-central2.pem
europe-north1 Finlandia europe-north1.pem
europe-north2 Estocolmo europe-north2.pem
europe-southwest1 Madrid europe-southwest1.pem
europe-west1 Bélgica europe-west1.pem
europe-west2 Londres europe-west2.pem
europe-west3 Fráncfort europe-west3.pem
europe-west4 Países Bajos europe-west4.pem
europe-west6 Zúrich europe-west6.pem
europe-west8 Milán europe-west8.pem
europe-west9 París europe-west9.pem
europe-west10 Berlín europe-west10.pem
europe-west12 Turín europe-west12.pem
Oriente Medio
me-central1 Doha me-central1.pem
me-central2 Dammam me-central2.pem
me-west1 Tel Aviv me-west1.pem
Norteamérica
northamerica-northeast1 Montreal northamerica-northeast1.pem
northamerica-northeast2 Toronto northamerica-northeast2.pem
northamerica-south1 México northamerica-south1.pem
us-central1 Iowa us-central1.pem
us-east1 Carolina del Sur us-east1.pem
us-east4 Virginia del Norte us-east4.pem
us-east5 Columbus us-east5.pem
us-south1 Dallas us-south1.pem
us-west1 Oregón us-west1.pem
us-west2 Los Ángeles us-west2.pem
us-west3 Salt Lake City us-west3.pem
us-west4 Las Vegas us-west4.pem
Sudamérica
southamerica-east1 São Paulo southamerica-east1.pem
southamerica-west1 Santiago southamerica-west1.pem

Restablece la configuración de SSL/TLS

Puedes restablecer completamente la configuración de SSL/TLS.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Cloud SQL.

    Ir a Instancias de Cloud SQL

  2. Para abrir la página de Descripción general de una instancia, haz clic en su nombre.
  3. Selecciona Conexiones en el menú de navegación de SQL.
  4. Ve a la sección Restablecer la configuración de SSL.
  5. Haz clic en Restablecer la configuración de SSL.

gcloud

  1. Actualiza el certificado:

    gcloud sql instances reset-ssl-config INSTANCE_NAME

REST v1beta4

  1. Actualiza el certificado:

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • project-id: el ID del proyecto
    • instance-id: Es el ID de la instancia.

    Método HTTP y URL:

    POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

Próximos pasos