本頁面由 Cloud Translation API 翻譯而成。

管理安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證
透過集合功能整理內容你可以依據偏好儲存及分類內容。

MySQL | PostgreSQL | SQL Server

本頁面說明如何管理伺服器 CA 憑證。

使用加密連線

進一步瞭解 SQL Server 如何使用加密連線。

管理伺服器 CA 憑證 (每個例項 CA)

本節說明如何管理 Cloud SQL 在內部建立的伺服器 CA 憑證。這是 Cloud SQL 中的預設伺服器 CA 模式。在這個憑證授權單位階層中，Cloud SQL 會為每個執行個體建立伺服器 CA。

輪替伺服器 CA 憑證

如果您收到憑證即將到期的通知，或是想要啟動輪替作業，請按照下列步驟完成輪替作業。開始輪替前，您必須在執行個體上建立新的伺服器 CA。如果已建立新的伺服器 CA，請略過下列程序的第一個步驟。

建立新的伺服器 CA。
下載新的伺服器 CA 憑證資訊。
更新用戶端以使用新的伺服器 CA 憑證資訊。
完成輪替，這樣會將使用中的憑證移至「上一個」運算單元，並將新增的憑證更新為使用中的憑證。

控制台

將新的伺服器 CA 憑證下載至本機環境，並以 PEM 檔案格式進行編碼：

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
按一下「管理憑證」展開。
選取「Rotate CA certificate」。
如果沒有符合資格的憑證，就無法使用輪替選項。您必須建立新的伺服器 CA 憑證。
按一下「下載憑證」。

將下載的檔案複製到用戶端主機，取代現有的 server-ca.pem 檔案，藉此更新所有 SQL Server 用戶端，以便使用新資訊。

當您更新完用戶端之後，完成輪替：

返回「安全性」分頁。
按一下「管理憑證」展開。
選取「Rotate CA certificate」。
確認您的用戶端正確連線。

如果有任何用戶端未使用剛輪替的憑證進行連線，您可以選取「Rollback CA certificate」來復原先前的設定。

gcloud

建立伺服器 CA 憑證：

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE

將憑證資訊下載至本機 PEM 檔案：

gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

將下載的檔案複製到用戶端主機，取代現有的 server-ca.pem 檔案，即可更新所有用戶端以使用新資訊。

當您更新完用戶端之後，完成輪替：

gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME

確認您的用戶端正確連線。

如果有任何用戶端未使用剛輪替的憑證進行連線，您可以復原到先前的設定。

REST v1

下載伺服器 CA 憑證：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

注意：以下指令假設您已使用使用者帳戶登入 gcloud CLI，方法是執行 gcloud init 或 gcloud auth login，或是使用 Cloud Shell，後者會自動登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

完成旋轉作業：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

下載伺服器 CA 憑證：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

完成旋轉作業：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

如果您在嘗試旋轉標示為 No upcoming/previous Server CA Certificate exists 的憑證時收到錯誤訊息，請確認您是在使用個別例項 CA 階層的例項上執行指令。您可以使用 gcloud sql instances describe 指令，查看 Cloud SQL 執行個體已設定哪些 CA 階層。詳情請參閱「查看執行個體資訊」。

復原憑證輪替作業

當您完成憑證輪替之後，您的用戶端必須全都使用新憑證來連線至 Cloud SQL 執行個體。如果用戶端未正確更新為使用新憑證資訊，就無法使用 SSL/TLS 連線至您的執行個體。如果發生這種情況，您可以回復先前的憑證設定。

回溯作業會將有效憑證移至「即將推出」的運算單元 (取代任何「即將推出」的憑證)。「上一個」憑證會成為有效憑證，將憑證設定還原為輪替前狀態。

復原至上一個憑證設定：

控制台

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
按一下「管理憑證」展開。
選取「復原 CA 憑證」。
如果沒有符合資格的憑證，就無法使用復原選項。否則，回溯動作會在幾秒後完成。

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

下載伺服器 CA 憑證：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

複製要回溯至的版本的 sha1Fingerprint 欄位。
找出 createTime 值比 sha1Fingerprint 值早的版本，並將其顯示為 activeVersion。

復原旋轉：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

JSON 要求主體：

{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

下載伺服器 CA 憑證：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

複製要回溯至的版本的 sha1Fingerprint 欄位。
找出 createTime 值比 sha1Fingerprint 值早的版本，並將其顯示為 activeVersion。

復原旋轉：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

JSON 要求主體：

{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

如果您在嘗試回溯憑證 CA 輪替作業時收到錯誤訊息，請確認您是在使用個別例項 CA 階層的例項上執行指令。No upcoming/previous Server CA Certificate exists您可以使用 gcloud sql instances describe 指令，查看 Cloud SQL 執行個體已設定哪些 CA 階層。詳情請參閱「查看執行個體資訊」。

啟動旋轉

您不必等待 Cloud SQL 傳送的電子郵件，即可開始輪替。您隨時可以開始進行。當您開始輪替時，會建立新憑證，並將它放進「接下來的」運算單元中。如果在您提出要求時，憑證已出現在「即將到期」的時間範圍內，系統就會刪除該憑證。只能有一個即將到期的證照。

開始輪替：

控制台

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
按一下「管理憑證」展開。
按一下「建立新的 CA 憑證」。
選取「Rotate CA certificate」。
如果沒有符合資格的憑證，就無法使用輪替選項。
按照「輪替伺服器 CA 憑證」的說明，完成輪替。

gcloud

啟動輪替：

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME

按照「輪替伺服器 CA 憑證」的說明，完成輪替。

REST v1

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

按照「輪替伺服器 CA 憑證」的說明，完成輪替。

REST v1beta4

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

按照「輪替伺服器 CA 憑證」的說明，完成輪替。

取得伺服器 CA 憑證的相關資訊

您可以取得伺服器 CA 憑證的相關資訊，例如憑證到期日或提供的加密等級。

控制台

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
在「管理伺服器 CA 憑證」中，您可以在表格中查看伺服器 CA 憑證的到期日。

如要查看憑證類型，請使用 gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME 指令。

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

描述執行個體時，您可以查看伺服器 CA 憑證的詳細資料：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

REST v1beta4

描述執行個體時，您可以查看伺服器 CA 憑證的詳細資料：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

查看 CA 憑證的內容

您可以使用 openssl storeutl 查看 CA 憑證的內容。

執行 sql ssl server-ca-certs list 指令時，您可能會從先前的輪替相關作業取得多個 CA 憑證。

gcloud

請執行下列指令：

gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

將 INSTANCE_NAME 替換為執行個體名稱。

使用 openssl 檢查 CA 憑證的內容。

openssl storeutl -noout -text temp_cert.pem

查看伺服器憑證的內容

您可以使用 nmap 查看伺服器憑證的內容。如要下載及安裝 nmap，請前往 https://nmap.org/。

gcloud

如要查看伺服器憑證內容，請執行下列指令：

nmap -sV -p 1433 --script ssl-cert INSTANCE_IP_ADDRESS -Pn

將 INSTANCE_IP_ADDRESS 替換為執行個體的 IP 位址。

管理伺服器憑證 (共用 CA)

本節說明如何在使用共用 CA 或客戶管理 CA 的執行個體上管理伺服器憑證。

您可以在建立執行個體時，為 serverCaMode 設定 (Cloud SQL Admin API) 或 --server-ca-mode 旗標 (gcloud CLI) 指定 GOOGLE_MANAGED_CAS_CA，即可選擇使用共用 CA 做為執行個體的伺服器 CA 模式。

如要將客戶管理的 CA 用於執行個體的伺服器 CA 模式，您必須在建立執行個體時，為 serverCaMode 設定 (Cloud SQL 管理員 API) 指定 CUSTOMER_MANAGED_CAS_CA，或為 --server-ca-mode 旗標 (gcloud CLI) 指定 --server-ca-mode，且必須擁有有效的 CA 集區和 CA。詳情請參閱「使用客戶代管 CA」。

輪替伺服器憑證

如果您收到伺服器憑證即將到期的通知，或是想要啟動輪替作業，請按照下列步驟完成輪替作業。開始輪替前，您必須為即將輪替的憑證建立新的伺服器憑證。如果已為即將輪替的憑證建立新的伺服器憑證，請略過下列程序的第一個步驟。

如要在執行個體上輪替伺服器憑證，請執行下列步驟：

如果您需要新的伺服器憑證，請建立。
如果您的用戶端已信任最新的區域 CA 套件，則可選擇略過這個步驟。不過，如果您需要更新用戶端的伺服器 CA 資訊，請按照下列步驟操作：
1. 下載最新的伺服器 CA 資訊。
2. 更新用戶端以使用最新的伺服器 CA 資訊。
將有效憑證移至上一個運算單元，並將新憑證更新為有效憑證，即可完成輪替。

控制台

將以 PEM 檔案編碼的伺服器 CA 憑證資訊下載至本機環境：

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
按一下「管理憑證」展開。
確認「Rotate server certificate」選項是否顯示為可用選項，但請勿立即選取。
如果沒有符合資格的憑證，就無法使用輪替選項。您必須建立新的伺服器憑證。
按一下「下載憑證」。

將下載的檔案複製到用戶端主機，取代現有的 server-ca.pem 檔案，藉此更新所有 SQL Server 用戶端，以便使用新資訊。

當您更新完用戶端之後，完成輪替：

返回「安全性」分頁。
按一下「管理憑證」展開。
選取「Rotate certificate」(輪替憑證)。
在「Confirm certificate rotation」對話方塊中，按一下「Rotate」。
確認您的用戶端正確連線。

如果有任何用戶端未使用剛輪替的憑證進行連線，您可以選取「Rollback certificate」來復原先前的設定。

gcloud

如要建立伺服器憑證，請使用下列指令：

gcloud sql ssl server-certs create \
--instance=INSTANCE

INSTANCE

請確認您使用的是最新的 CA 套件。如果您未使用最新的 CA 套件，請執行下列指令，將執行個體的最新伺服器 CA 資訊下載至本機 PEM 檔案：
```
gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem
```
或者，您也可以從本頁的根 CA 和區域 CA 憑證組合表下載 CA 組合。

接著，將下載的檔案複製到用戶端主機，取代現有的 server-ca.pem 檔案，藉此更新所有用戶端，以便使用新的伺服器 CA 資訊。
更新所有用戶端 (如果需要更新用戶端) 後，請完成輪替：
```
gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME
      
```
確認您的用戶端正確連線。

如果有任何用戶端未使用剛輪替的伺服器憑證進行連線，請復原先前的設定。

REST v1

建立伺服器憑證。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

如需下載伺服器 CA 憑證資訊，請使用下列指令。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

完成旋轉。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/operation-id",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

建立伺服器憑證。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

如需下載伺服器 CA 憑證資訊，請使用下列指令。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

完成旋轉。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

復原憑證輪替

完成伺服器憑證輪替後，所有用戶端都必須使用新憑證連線至 Cloud SQL 執行個體。如果用戶端未正確更新為使用新憑證資訊，就無法使用 SSL/TLS 連線至您的執行個體。如果發生這種情況，您可以回復先前的憑證設定。

回溯作業會將有效憑證移至「即將推出」的運算單元，取代任何「即將推出」的憑證。「上一個」憑證會成為有效憑證，並將憑證設定還原至輪替前狀態。

控制台

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
選取「安全性」分頁標籤。
按一下「管理憑證」展開。
選取「復原伺服器憑證」。
如果沒有符合資格的憑證，就無法使用復原選項。
在「Confirm certificate rollback」對話方塊中，選取「Rollback」。
回溯可能需要幾秒鐘才能完成。

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

列出伺服器憑證。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

複製要回溯至的版本的 sha1Fingerprint 欄位。

找出 createTime 值比 sha1Fingerprint 值早出現的版本，該版本會顯示為 activeVersion。

回復旋轉。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

JSON 要求主體：

{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

列出伺服器憑證。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

複製要回溯至的版本的 sha1Fingerprint 欄位。

找出 createTime 值比 sha1Fingerprint 值早出現的版本，該版本會顯示為 activeVersion。

回復旋轉。

使用任何要求資料之前，請先替換以下項目：

PROJECT_ID：專案 ID
INSTANCE_ID：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

JSON 要求主體：

{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

查看 CA 憑證的內容

您可以使用 openssl storeutl 公用程式查看 CA 憑證的內容。

執行 sql ssl server-certs list 指令時，由於信任鏈結，您一律會取得多個 CA 憑證。您也可能會從先前的輪替相關作業中取得多個 CA 憑證。

gcloud

請執行下列指令：

gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

將 INSTANCE_NAME 替換為執行個體名稱。

使用 openssl 檢查 CA 憑證的內容。

openssl storeutl -noout -text temp_cert.pem

下載共用 CA 的根 CA 和區域 CA 憑證組合

如果您使用 Google 代管的共用 CA 設定，可以從下表下載根 CA 和區域 CA 憑證套件。

這些憑證套件不適用於使用個別執行個體或客戶管理的 CA 選項的執行個體。

	地區名稱	位置	憑證組合
全球
	所有區域的 CA	所有位置	`global.pem`
亞洲
	`asia-east1`	台灣	`asia-east1.pem`
	`asia-east2`	香港	`asia-east2.pem`
	`asia-northeast1`	東京	`asia-northeast1.pem`
	`asia-northeast2`	大阪	`asia-northeast2.pem`
	`asia-northeast3`	首爾	`asia-northeast3.pem`
	`asia-south1`	孟買	`asia-south1.pem`
	`asia-south2`	德里	`asia-south2.pem`
	`asia-southeast1`	新加坡	`asia-southeast1.pem`
	`asia-southeast2`	雅加達	`asia-southeast2.pem`
非洲
	`africa-south1`	約翰尼斯堡	`africa-south1.pem`
澳洲
	`australia-southeast1`	雪梨	`australia-southeast1.pem`
	`australia-southeast2`	墨爾本	`australia-southeast2.pem`
歐洲
	`europe-central2`	華沙	`europe-central2.pem`
	`europe-north1`	芬蘭	`europe-north1.pem`
	`europe-north2`	斯德哥爾摩	`europe-north2.pem`
	`europe-southwest1`	馬德里	`europe-southwest1.pem`
	`europe-west1`	比利時	`europe-west1.pem`
	`europe-west2`	倫敦	`europe-west2.pem`
	`europe-west3`	法蘭克福	`europe-west3.pem`
	`europe-west4`	荷蘭	`europe-west4.pem`
	`europe-west6`	蘇黎世	`europe-west6.pem`
	`europe-west8`	米蘭	`europe-west8.pem`
	`europe-west9`	巴黎	`europe-west9.pem`
	`europe-west10`	柏林	`europe-west10.pem`
	`europe-west12`	杜林	`europe-west12.pem`
中東地區
	`me-central1`	杜哈	`me-central1.pem`
	`me-central2`	達曼	`me-central2.pem`
	`me-west1`	特拉維夫市	`me-west1.pem`
北美洲
	`northamerica-northeast1`	蒙特婁	`northamerica-northeast1.pem`
	`northamerica-northeast2`	多倫多	`northamerica-northeast2.pem`
	`northamerica-south1`	墨西哥	`northamerica-south1.pem`
	`us-central1`	愛荷華州	`us-central1.pem`
	`us-east1`	南卡羅來納州	`us-east1.pem`
	`us-east4`	北維吉尼亞州	`us-east4.pem`
	`us-east5`	哥倫布	`us-east5.pem`
	`us-south1`	達拉斯	`us-south1.pem`
	`us-west1`	奧勒岡州	`us-west1.pem`
	`us-west2`	洛杉磯	`us-west2.pem`
	`us-west3`	鹽湖城	`us-west3.pem`
	`us-west4`	拉斯維加斯	`us-west4.pem`
南美洲
	`southamerica-east1`	聖保羅	`southamerica-east1.pem`
	`southamerica-west1`	聖地亞哥	`southamerica-west1.pem`

重設安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 設定

您可以完全重設 SSL/TLS 設定。

主控台

前往 Google Cloud 控制台的「Cloud SQL 執行個體」頁面。

前往 Cloud SQL 執行個體
如要開啟執行個體的「總覽」頁面，請按一下執行個體名稱。
在 SQL 導覽選單中選取「Connections」。
前往「重設安全資料傳輸層 (SSL) 的設定」部分。
按一下「Reset SSL Configuration」。

gcloud

重新整理憑證：

gcloud sql instances reset-ssl-config INSTANCE_NAME

REST v1beta4

重新整理憑證：

使用任何要求資料之前，請先替換以下項目：

project-id：專案 ID
instance-id：執行個體 ID

HTTP 方法和網址：

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig"

PowerShell (Windows)

注意：下列指令假設您已透過執行 gcloud init 或 gcloud auth login 登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig" | Select-Object -Expand Content

您應該會收到如下的 JSON 回應：

回應

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "[email protected]",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

後續步驟

進一步瞭解 Cloud SQL 中的 SSL/TLS。
在 Cloud SQL 執行個體上設定 SSL/TLS。
查看可在全球位置使用的所有 Google Cloud 服務。

管理安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

使用加密連線

管理伺服器 CA 憑證 (每個例項 CA)

輪替伺服器 CA 憑證

控制台

gcloud

REST v1

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

REST v1beta4

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

復原憑證輪替作業

控制台

gcloud

REST v1

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

REST v1beta4

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

啟動旋轉

控制台

gcloud

REST v1

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

REST v1beta4

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

取得伺服器 CA 憑證的相關資訊

控制台

gcloud

REST v1

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

REST v1beta4

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

查看 CA 憑證的內容

gcloud

查看伺服器憑證的內容

gcloud

管理伺服器憑證 (共用 CA)

輪替伺服器憑證

控制台

gcloud

REST v1

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

回應

REST v1beta4

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

管理安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證
透過集合功能整理內容你可以依據偏好儲存及分類內容。