Назад | Перейти на главную страницу

Обновить SSL-сертификат сервера Google Cloud SQL MySQL без простоев?

Если я подключиться с помощью SSL к серверу MySQL 2-го поколения Google Cloud SQL сертификат самоподписывается и оказывается, что сертификат действует всего 1 год. До истечения года я могу обновить сертификат, используя gcloud sql instances reset-ssl-config [INSTANCE_NAME]. На этом этапе создается новый сертификат, который сразу же используется на сервере MySQL.

К сожалению, это приведет к простою, потому что у меня будет несколько разных клиентов MySQL, чьи --ssl-ca конфигурация должна измениться, как только будет сгенерирован новый сертификат сервера. Кроме того, в документации указано, что все клиентские сертификаты также отзываются одновременно!

Есть ли способ избежать простоя на стороне клиента в Google Cloud SQL MySQL при обновлении сертификата сервера? Например, можно ли сгенерировать новый сертификат сервера без его немедленной активации, чтобы клиенты --ssl-ca можно обновить, а затем начать использовать новый сертификат, когда все клиенты будут готовы?

Для сравнения, как описан в письме команды RDSAmazon RDS не использует самозаверяющие сертификаты для сервера MySQL. Вместо этого он использует сертификат (с именем хоста, которое проверяется с помощью --ssl-verify-server-cert) и центр сертификации, срок действия сертификата которого составляет 5 лет. До истечения срока действия сертификата ЦС Amazon публикует файл центра сертификации, который содержит как старые сертификаты ЦС, так и новые сертификаты ЦС (поскольку клиент mysql --ssl-ca файл может содержать несколько сертификатов доверенных центров сертификации). Когда все клиенты доверяют новому сертификату ЦС, и вы готовы, вы можете без простоев заменить сертификат сервера MySQL RDS с сертификата, подписанного старым ЦС, на сертификат, подписанный новым ЦС.

В настоящее время служба Cloud SQL не позволяет клиентам обновлять сертификат без простоя. Я принял к сведению и сделал Запрос функции в общедоступную систему отслеживания проблем Google для реализации этой функции в Cloud SQL в будущем.

Нет метода предварительной выборки данных CA, которые будут использоваться для обновления сертификата, чтобы клиент мог быть подготовлен заранее.