Vom Kunden verwaltete Zertifizierungsstelle verwenden

Auf dieser Seite wird beschrieben, wie Sie die Option für die kundenverwaltete Zertifizierungsstelle (Certificate Authority, CA) als Server-CA-Modus für Ihre Cloud SQL-Instanz verwenden.

Übersicht

Bei der Option „Vom Kunden verwaltete CA“ richten Sie Ihren eigenen CA-Pool und Ihre eigene CA im Certificate Authority Service (CA Service) ein. Wenn Sie die Option für die vom Kunden verwaltete Zertifizierungsstelle auswählen, richten Sie die CA-Hierarchie ein und verwalten die Rotation von CA-Zertifikaten für Ihre Cloud SQL-Instanzen.

Bevor Sie eine Cloud SQL-Instanz für die Verwendung der Option „Vom Kunden verwaltete CA“ konfigurieren können, müssen Sie mit CA Service einen CA-Pool in derselben Region wie Ihre Instanz und mindestens eine CA in diesem Pool erstellen. Die CA kann eine Stamm-CA oder eine untergeordnete CA sein. Sie haben auch die Möglichkeit, eine untergeordnete CA in CA Service zu erstellen und sie dann mit einer externen Stamm-CA zu verketten. Wenn Sie die Instanz konfigurieren, geben Sie den CA-Pool an. Ihre Anfrage wird an ein projektspezifisches Dienstkonto delegiert, das die Berechtigung hat, den CA-Pool zu verwenden. Das Dienstkonto fordert eine CA aus dem Pool an und Cloud SQL verwendet diese CA, um das Serverzertifikat für die Instanz zu signieren.

Für den Server-CA-Modus für Ihre Instanz in Cloud SQL können Sie zwischen den folgenden drei Optionen wählen:

  • interne Zertifizierungsstelle pro Instanz
  • Von Google verwaltete gemeinsame Zertifizierungsstelle
  • Kundenverwaltete Zertifizierungsstelle

Sie können die Option „Vom Kunden verwaltete Zertifizierungsstelle“ auswählen, wenn Sie aus Compliance-Gründen Ihre eigene Zertifizierungsstelle verwalten müssen. Weitere Informationen zur Verwendung der anderen Optionen finden Sie unter Mit SSL/TLS-Zertifikaten autorisieren.

Workflow

Wenn Sie die Option „Vom Kunden verwaltete Zertifizierungsstelle“ verwenden möchten, gehen Sie so vor:

  1. Erstellen Sie ein Dienstkonto für Ihr Cloud SQL-Projekt.
  2. Erstellen Sie einen CA-Pool im CA-Dienst.
  3. Erstellen Sie eine CA in CA Service.
  4. Konfigurieren Sie die Cloud SQL-Instanz für die Verwendung der Zertifizierungsstelle. Wenn Sie Ihre Instanz konfigurieren, delegieren Sie die Berechtigung an das Dienstkonto, das Serverzertifikat mit dem von Ihnen erstellten CA-Pool zu signieren.

Hinweis

Bevor Sie die Option „Vom Kunden verwaltete CA“ verwenden, müssen Sie die folgenden Anforderungen erfüllen.

  1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that you have the permissions required to complete this guide.

  3. Verify that billing is enabled for your Cloud de Confiance project.

  4. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installieren Sie die gcloud CLI.

  6. Konfigurieren Sie die gcloud CLI für die Verwendung Ihrer föderierten Identität.

    Weitere Informationen finden Sie unter Mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen für jedes einzelne Projekt die IAM-Rolle Dienstkonto-Ersteller (roles/iam.serviceAccountCreator) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Cloud SQL-spezifischen Dienstkontos benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „CA Service Operation Manager“ (roles/privateca.caManager) für CA Service zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines CA-Pools und einer Zertifizierungsstelle benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Projektspezifisches Dienstkonto erstellen

Erstellen Sie in dem Projekt, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten, ein dediziertes Dienstkonto, das die Anfrage zum Erstellen und Signieren der Serverzertifikate für Ihre Cloud SQL-Instanzen verarbeitet.

gcloud

Führen Sie den folgenden Befehl aus, um ein Dienstkonto für Ihr Cloud SQL-Projekt zu erstellen:

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.

Mit dem Befehl wird im Projekt ein Dienstkonto mit dem Namen service-PROJECT_ID@gcp-sa-cloud-sql.s3ns-system.iam.gserviceaccount.com erstellt. Notieren Sie sich den Namen des Dienstkontos CA Service-Zertifikatsanfragesteller.

CA-Pool erstellen

Erstellen Sie einen CA-Pool im CA-Dienst.

Sie können einen CA-Pool im selben Projekt erstellen, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten, oder in einem anderen Projekt. Wenn Sie den CA-Pool jedoch in einem anderen Projekt erstellen, kann VPC Service Controls Sie je nach Organisationsrichtlinie möglicherweise daran hindern, Cloud SQL-Instanzen zu erstellen. Um das Problem zu beheben, müssen Sie dafür sorgen, dass das Projekt, in dem sich der CA-Pool und die CA befinden, und das Projekt, in dem sich Cloud SQL befindet, zum selben Dienstperimeter gehören. Weitere Informationen finden Sie unter Dienstperimeter und Dienstperimeter verwalten.

Folgen Sie der Anleitung unter CA-Pool erstellen, um einen CA-Pool zu erstellen. Sie können die Standardwerte für den CA-Pool mit den folgenden erforderlichen Konfigurationseinstellungen akzeptieren:

  • Erstellen Sie den CA-Pool in derselben Region, in der Sie Ihre Cloud SQL-Instanz erstellen möchten. Eine Liste der von Cloud SQL unterstützten Regionen finden Sie unter Regionen.
  • Konfigurationsbasierte Zertifikatsanfragen zulassen.
  • DNS-Namen in alternativen Antragstellernamen (Subject Alternative Names, SANs) zulassen Wenn Sie die Identitätseinschränkungen des CA-Pools konfigurieren, legen Sie keine Einschränkungen für das Format der DNS-Namen fest, die mit dem in Konflikt stehen könnten, was Cloud SQL dem SAN hinzufügt.

Dienstkonto Zugriff auf den CA-Pool gewähren

Damit das Dienstkonto die Berechtigungen zum Anfordern und Signieren von Zertifikaten für Ihre Cloud SQL-Instanzen hat, weisen Sie dem Dienstkonto für den von Ihnen erstellten CA-Pool die folgende Rolle zu:

  • roles/privateca.certificateRequester

gcloud

Führen Sie den Befehl gcloud privateca pools aus, um dem Dienstkonto Zugriff auf den CA-Pool zu gewähren:

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Ersetzen Sie die folgenden Werte:

  • Ersetzen Sie CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.
  • PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben.
  • SERVICE_ACCOUNT_NAME durch den Namen des Dienstkontos CA Service Certificate Requester, das Sie zuvor für das Projekt erstellt haben.

CA im CA-Pool erstellen

Erstellen Sie mindestens eine CA im erstellten CA-Pool.

Sie können eine Stamm-CA oder eine untergeordnete CA erstellen.

Folgen Sie der Anleitung unter Stamm-Zertifizierungsstelle erstellen, um eine Stamm-Zertifizierungsstelle zu erstellen. Sie können die Standardwerte für die CA übernehmen, müssen sie aber im Status Aktiviert erstellen.

Wenn Sie die Größe und den Algorithmus von CA-Schlüsseln konfigurieren, können Sie eine beliebige Schlüsselgröße und einen beliebigen Algorithmus auswählen. Cloud SQL generiert seine Serverzertifikate mit elliptischen Kurvenschlüsseln vom Typ EC P-384 (SHA-384). Die kryptografischen Schlüssel Ihrer Zertifizierungsstelle müssen jedoch nicht übereinstimmen.

Wenn Sie eine untergeordnete CA erstellen, müssen Sie zuerst Ihre Stamm-CA erstellen und konfigurieren.

Cloud SQL-Instanz für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle konfigurieren

Sie können eine Cloud SQL-Instanz so konfigurieren, dass beim Erstellen der Instanz die Option „Vom Kunden verwaltete CA“ verwendet wird. Sie können auch den Modus für Serverzertifizierungsstellen einer vorhandenen Instanz aktualisieren, sodass anstelle der instanzspezifischen Zertifizierungsstelle oder der Option für gemeinsam genutzte Zertifizierungsstellen eine vom Kunden verwaltete Zertifizierungsstelle verwendet wird.

Instanz erstellen

So erstellen Sie eine Cloud SQL-Instanz, die die Option für kundenverwaltete Zertifizierungsstellen verwendet:

Console

  1. Wechseln Sie in der Cloud de Confiance Console zur Seite Cloud SQL-Instanzen.

    Cloud SQL-Instanzen aufrufen

  2. Geben Sie unter Instanz-ID einen Namen für die Instanz ein.
  3. Wählen Sie ein Datenbankmodul, eine Datenbankversion, eine Cloud SQL-Version, eine Region und einen Verfügbarkeitstyp aus oder übernehmen Sie die Standardeinstellungen, wie unter Instanz erstellen beschrieben.
  4. Maximieren Sie im Bereich Instanz anpassen die Option Konfigurationsoptionen einblenden.
  5. Klicken Sie auf Sicherheit.
  6. Wählen Sie im Abschnitt Modus der Server-Zertifizierungsstelle die Option Kundenverwaltete CAS-Zertifizierungsstelle aus.
  7. Wählen Sie im Menü CA-Pool einen CA-Pool für Ihre Instanz aus. Der CA-Pool muss sich in derselben Region befinden, die Sie für Ihre Instanz auswählen. Wenn Sie noch keinen CA-Pool haben, klicken Sie auf Neuer Pool, um einen neuen Pool zu erstellen.
  8. Optional: Wenn Sie die automatische Rotation Ihrer Serverzertifikate aktivieren möchten, klicken Sie das Kästchen Serverzertifikate automatisch rotieren an.
  9. Klicken Sie auf Instanz erstellen.

gcloud

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

Ersetzen Sie die folgenden Werte:

  • INSTANCE_NAME durch den Namen der Cloud SQL-Instanz, die Sie erstellen möchten.
  • DATABASE_VERSION durch die enum der Version der Cloud SQL-Instanz, die Sie erstellen möchten.
  • PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • PROJECT_ID_CAS durch die ID des Projekts, in dem Sie Ihre CA_POOL_ID erstellt haben. Dieses Projekt kann dasselbe sein wie das Projekt, in dem Sie Ihre Cloud SQL-Instanz erstellen möchten, oder ein anderes.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • Ersetzen Sie CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.

REST

Wenn Sie eine Cloud SQL-Instanz erstellen möchten, die die Option für vom Kunden verwaltete Zertifizierungsstellen verwendet, verwenden Sie die Methode instances.insert und geben Sie die folgenden Eigenschaften an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID ist die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • PROJECT_ID_CAS: die ID des Projekts, in dem Sie Ihre CA_POOL_ID erstellt haben. Dieses Projekt kann dasselbe sein wie das Projekt, in dem Sie Ihre Cloud SQL-Instanz erstellen möchten, oder ein anderes.
  • INSTANCE_ID ist der Name der Cloud SQL-Instanz, die Sie erstellen möchten.
  • REGION ist die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • Ersetzen Sie CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.

HTTP-Methode und URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

JSON-Text anfordern:

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Instanz aktualisieren, um eine vom Kunden verwaltete Zertifizierungsstelle zu verwenden

Bevor Sie eine Instanz für die Verwendung einer vom Kunden verwalteten CA aktualisieren, führen Sie die folgenden Schritte aus:

  • Sehen Sie sich die Liste der Cloud de Confiance by S3NS Dienste an, die keine Verbindungen zu Cloud SQL-Instanzen unterstützen, die für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle konfiguriert sind. Wenn für Ihre Bereitstellung der Dienst erforderlich ist, müssen Sie das Update möglicherweise verzögern.
  • Wenn Sie den Cloud SQL Auth-Proxy oder einen der Cloud SQL Language Connectors verwenden, um eine Verbindung zur Instanz herzustellen, achten Sie darauf, dass die Mindestversionen ausgeführt werden. Wenn Sie den Cloud SQL Auth-Proxy verwenden, muss es Version 2.14.3 oder höher sein. Die erforderlichen Mindestversionen der Cloud SQL Language Connectors finden Sie unter Anforderungen an Cloud SQL Language Connectors.
  • Achten Sie darauf, dass Sie bereits einen CA-Pool erstellt und dem Dienstkonto Zugriff auf den CA-Pool gewährt haben.
  • Achten Sie darauf, dass sich mindestens eine Zertifizierungsstelle im Zertifizierungsstellenpool befindet.
  • Damit es nach dem Update nicht zu Unterbrechungen kommt, laden Sie die Zertifikate von Ihrer vom Kunden verwalteten Zertifizierungsstelle herunter und richten Sie Ihre Datenbankclients so ein, dass sie Ihrer Zertifizierungsstelle vertrauen.

Führen Sie die folgenden Schritte aus, um eine Cloud SQL-Instanz so zu aktualisieren, dass die Option „Vom Kunden verwaltete CA“ verwendet wird.

Console

  1. Wechseln Sie in der Cloud de Confiance Console zur Seite Cloud SQL-Instanzen.

    Cloud SQL-Instanzen aufrufen

  2. Klicken Sie auf den Instanznamen, um die Übersichtsseite einer Instanz zu öffnen.
  3. Klicken Sie auf Bearbeiten.
  4. Maximieren Sie im Bereich Instanz anpassen die Option Konfigurationsoptionen einblenden.
  5. Klicken Sie auf Sicherheit.
  6. Wählen Sie im Abschnitt Modus der Server-Zertifizierungsstelle die Option Kundenverwaltete CAS-Zertifizierungsstelle aus.
  7. Wählen Sie im Menü CA-Pool einen CA-Pool für Ihre Instanz aus. Der CA-Pool muss sich in derselben Region befinden, die Sie für Ihre Instanz auswählen. Wenn Sie noch keinen CA-Pool haben, klicken Sie auf Neuer Pool, um einen neuen Pool zu erstellen.
  8. Optional: Wenn Sie die automatische Rotation Ihrer Serverzertifikate aktivieren möchten, klicken Sie das Kästchen Serverzertifikate automatisch rotieren an.
  9. Klicken Sie auf Speichern.

gcloud

Führen Sie den folgenden Befehl aus, um Ihre Instanz zu aktualisieren:

gcloud sql instances patch INSTANCE_NAME \
--server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
--server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

Achten Sie darauf, dass Sie für das Flag --server-ca-mode den Wert CUSTOMER_MANAGED_CAS_CA angeben.

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: Der Name der Cloud SQL-Instanz, die Sie patchen möchten.
  • PROJECT_ID_CAS durch die ID des Projekts, in dem sich Ihr CA_POOL_ID befindet. Dieses Projekt kann dasselbe sein wie das, in dem sich Ihre Cloud SQL-Instanz befindet, oder ein anderes.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben. Ihre Instanz muss sich in derselben Region wie der CA-Pool befinden.
  • CA_POOL_ID: Die ID des CA-Pools, den Sie der Instanz zuweisen möchten. Sie können diesen Befehl auch verwenden, um den CA-Pool für eine Instanz zu ändern, die bereits für die Verwendung vonCUSTOMER_MANAGED_CAS_CAkonfiguriert ist.

REST

Wenn Sie eine Cloud SQL-Instanz aktualisieren möchten, damit sie die Option „Vom Kunden verwaltete Zertifizierungsstelle“ verwendet, verwenden Sie die Methode instances.patch und geben Sie die folgenden Attribute an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID die ID des Projekts, in dem sich Ihre Cloud SQL-Instanz befindet.
  • INSTANCE_ID: Der Name der Cloud SQL-Instanz, die Sie patchen möchten.
  • PROJECT_ID_CAS: die ID des Projekts, in dem Sie Ihre CA_POOL_ID erstellt haben. Dieses Projekt kann mit dem Projekt identisch sein, in dem sich Ihre Cloud SQL-Instanz befindet, oder sich davon unterscheiden.
  • REGION ist die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • CA_POOL_ID ist die ID des CA-Pools, den Sie der Instanz zuweisen möchten. Sie können diesen Befehl auch verwenden, um den CA-Pool für eine Instanz zu ändern, die bereits für die Verwendung von CUSTOMER_MANAGED_CAS_CA konfiguriert ist.

HTTP-Methode und URL: 

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

JSON-Text anfordern:

{
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Instanz von kundenverwalteter Zertifizierungsstelle auf freigegebene Zertifizierungsstelle umstellen

Sie können eine Instanz, die eine vom Kunden verwaltete Zertifizierungsstelle verwendet, so aktualisieren, dass sie eine gemeinsame Zertifizierungsstelle (GOOGLE_MANAGED_CAS_CA) verwendet. Sie können jedoch keine Instanz, die für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle konfiguriert ist, so aktualisieren, dass sie die instanzspezifische Zertifizierungsstelle (GOOGLE_MANAGED_INTERNAL_CA) verwendet.

Bevor Sie eine Instanz aktualisieren, damit sie eine freigegebene CA verwendet, müssen Sie die globalen und regionalen CA-Pakete herunterladen, sie auf Ihre Datenbankclients kopieren und diesen CAs vertrauen. Wenn Sie die Zertifikate einrichten, bevor Sie die Konfiguration des Server-CA-Modus ändern, können Sie potenzielle Unterbrechungen für Ihre Datenbankclients vermeiden.

So stellen Sie den Modus für Serverzertifizierungsstellen Ihrer Instanz auf die Verwendung der freigegebenen Zertifizierungsstelle um:

Console

  1. Wechseln Sie in der Cloud de Confiance Console zur Seite Cloud SQL-Instanzen.

    Cloud SQL-Instanzen aufrufen

  2. Klicken Sie auf den Instanznamen, um die Übersichtsseite einer Instanz zu öffnen.
  3. Klicken Sie auf Bearbeiten.
  4. Maximieren Sie im Bereich Instanz anpassen die Option Konfigurationsoptionen einblenden.
  5. Klicken Sie auf Sicherheit.
  6. Wählen Sie im Abschnitt Modus der Server-Zertifizierungsstelle die Option Von Google verwaltete CAS-Zertifizierungsstelle aus.
  7. Optional: Wenn Sie die automatische Rotation Ihrer Serverzertifikate aktivieren möchten, klicken Sie das Kästchen Serverzertifikate automatisch rotieren an.
  8. Klicken Sie auf Speichern.

gcloud

Führen Sie den folgenden Befehl aus, um Ihre Instanz zu aktualisieren:

gcloud sql instances patch INSTANCE_NAME \
--server-ca-mode=GOOGLE_MANAGED_CAS_CA \
--server-ca-pool=""

Gehen Sie im Befehl so vor:

  • Ersetzen Sie INSTANCE_NAME durch den Namen der Cloud SQL-Instanz, die Sie patchen möchten.
  • Geben Sie für das Flag --server-ca-mode den Wert GOOGLE_MANAGED_CAS_CA an.
  • Für das Flag --server-ca-pool müssen Sie einen leeren String oder "" angeben.

REST

Wenn Sie eine Cloud SQL-Instanz, die die vom Kunden verwaltete Zertifizierungsstelle verwendet, so aktualisieren möchten, dass sie die Option für die gemeinsame Zertifizierungsstelle verwendet, verwenden Sie die Methode instances.patch und geben Sie die folgenden Attribute an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID die ID des Projekts, in dem sich Ihre Cloud SQL-Instanz befindet.
  • INSTANCE_ID: Der Name der Cloud SQL-Instanz, die Sie patchen möchten.

HTTP-Methode und URL: 

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

JSON-Text anfordern:

{
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "",
         "serverCaMode": "GOOGLE_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Fehlerbehebung

Problem Fehlerbehebung

Sie erhalten die folgende Fehlermeldung:

PERMISSION_DENIED: Permission privateca.certificates.create denied on CA_POOL_ID. 		Achten Sie darauf, dass Sie dem Dienstkonto, das Sie für Ihr Cloud SQL-Projekt erstellt haben, die Rolle roles/privateca.certificateRequester zugewiesen haben. Weitere Informationen finden Sie unter Dienstkonto Zugriff auf den CA-Pool gewähren.

Sie erhalten die folgende Fehlermeldung:

PERMISSION_DENIED: Request is prohibited by organization's policy vpcServiceControlsUniqueIdentifier VPC_SERVICE_CONTROLS_UNIQUE_IDENTIFIER. 		Konfigurieren Sie VPC Service Controls so, dass das Projekt, in dem sich der CA-Pool und die CA des CA Service befinden, und das Projekt, in dem sich Cloud SQL befindet, zum selben Dienstperimeter gehören. Weitere Informationen finden Sie unter Dienstperimeter und Dienstperimeter verwalten.

Sie erhalten eine der folgenden INVALID ARGUMENT-Fehlermeldungen:

  • Public key algorithm is not permitted by the CaPool's issuance policy.
  • This CaPool's issuance policy does not permit passthrough subjects and/or subject alternative names, and thus can only be used with the REFLECTED_SPIFFE subject mode.
  • Config issuance mode is not permitted by the CaPool's issuance policy.

Prüfen Sie die Konfigurationseinstellungen Ihres CA-Pools und Ihrer CA. Prüfen Sie, ob Sie alle Anforderungen erfüllen, die unter CA-Pool erstellen und CA im CA-Pool erstellen aufgeführt sind.

Sie erhalten die folgende Fehlermeldung:

RESOURCE_EXHAUSTED

 Dies weist auf Kontingentprobleme mit dem CA-Dienst hin. Prüfen Sie das Kontingent für CA Service in Ihrem Projekt. Prüfen Sie, ob Sie möglicherweise Anfragen in Ihrem CA-Pool außerhalb von Cloud SQL verwenden. Weitere Informationen finden Sie unter Kontingente und Limits.

Sie erhalten die folgende Fehlermeldung:

NOT FOUND: parent resource CA_POOL_ID not found. 		Prüfen Sie die Projekt-ID, den Standort und den Namen des CA-Pools, den Sie beim Erstellen Ihrer Cloud SQL-Instanz angegeben haben. Achten Sie darauf, dass Sie keine Tippfehler gemacht haben.

Sie erhalten die folgende Fehlermeldung:

FAILED_PRECONDITION: There are no enabled CAs in the CaPool. Please ensure that there is at least one enabled Certificate Authority to issue a certificate. 		Sie müssen mindestens eine CA im CA-Pool erstellt haben, den Sie beim Erstellen der Cloud SQL-Instanz angegeben haben. Die CA muss aktiviert sein.

Sie erhalten die folgende Fehlermeldung:

FAILED_PRECONDITION: Per-Product Per-Project Service Account (P4 SA) SERVICE_ACCOUNT_NAME not found for project PROJECT_ID. 		Prüfen Sie, ob Sie das Dienstkonto für Ihr Cloud SQL-Projekt erstellt haben. Weitere Informationen finden Sie unter Projektspezifisches Dienstkonto erstellen.

Sie erhalten die folgende Fehlermeldung:

INVALID ARGUMENT: Invalid format for server CA pool.

Prüfen Sie, ob Sie den CA-Pool im richtigen Format angegeben haben:

projects/PROJECT_ID/locations/REGION/caPools/CA_POOL_ID

Sie erhalten die folgende Fehlermeldung:

INVALID ARGUMENT: The instance's server CA pool must be in the same region as the instance.

Der CA-Pool muss sich in derselben Region wie die Cloud SQL-Instanz befinden, die Sie erstellen möchten.

Nächste Schritte