Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ניהול אישורי SSL/TLS

‫MySQL | PostgreSQL | SQL Server

בדף הזה מוסבר איך לנהל את אישורי רשות האישורים (CA) של השרת.

שימוש בחיבורים מוצפנים

מידע נוסף על השימוש בחיבורים מוצפנים ב-SQL Server

ניהול אישורי CA של שרת (CA לכל מופע)

בקטע הזה מוסבר איך לנהל אישורי CA של שרתים שנוצרים באופן פנימי על ידי Cloud SQL. זהו מצב ברירת המחדל של CA בשרת ב-Cloud SQL. בהיררכיית רשויות האישורים הזו, Cloud SQL יוצר CA של שרת לכל מכונה.

החלפת אישורי CA של השרת

אם קיבלתם הודעה על כך שתוקף האישורים שלכם עומד לפוג, או שאתם רוצים להתחיל בהחלפה, אתם צריכים לבצע את השלבים הבאים כדי להשלים את ההחלפה. לפני שמתחילים את הרוטציה, צריך שיהיה מופעל במופע אישור CA חדש של השרת. אם כבר נוצר CA חדש לשרת, אפשר לדלג על השלב הראשון בתהליך הבא.

יוצרים CA חדש לשרת.
מורידים את פרטי אישור ה-CA החדש של השרת.
צריך לעדכן את הלקוחות כך שישתמשו בפרטי אישור ה-CA החדשים של השרת.
משלימים את הרוטציה, שמעבירה את האישור הפעיל למשבצת 'הקודמת' ומעדכנת את האישור שנוסף לאחרונה כך שיהיה האישור הפעיל.

המסוף

מורידים את אישור ה-CA החדש של השרת, שמקודד כקובץ PEM, לסביבה המקומית:

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
בוחרים באפשרות החלפת אישור CA.
אם אין אישורים שעומדים בדרישות, האפשרות rotate (סיבוב) לא זמינה. צריך ליצור אישור CA חדש של שרת.
לוחצים על הורדת אישורים.

כדי לעדכן את כל הלקוחות של SQL Server כך שישתמשו במידע החדש, מעתיקים את הקובץ שהורד למחשבי המארחים של הלקוחות ומחליפים את הקובץ הקיים server-ca.pem.

אחרי שמעדכנים את הלקוחות, משלימים את הרוטציה:

חוזרים לכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
בוחרים באפשרות החלפת אישור CA.
מוודאים שהלקוחות מתחברים בצורה תקינה.

אם יש לקוחות שלא מתחברים באמצעות האישור החדש שהוחלף, אפשר לבחור באפשרות Rollback CA certificate (החזרת אישור CA) כדי לחזור להגדרה הקודמת.

gcloud

יוצרים אישור CA של שרת:

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE

מורידים את פרטי האישור לקובץ PEM מקומי:

gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

כדי לעדכן את כל הלקוחות כך שישתמשו במידע החדש, צריך להעתיק את הקובץ שהורדתם למחשבי המארחים של הלקוחות ולהחליף את קובצי ה-server-ca.pem הקיימים.
אחרי שמעדכנים את הלקוחות, משלימים את הרוטציה:
```
gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME
      
```
מוודאים שהלקוחות מתחברים בצורה תקינה.

אם יש לקוחות שלא מתחברים באמצעות האישור החדש, אפשר לחזור להגדרה הקודמת.

REST v1

מורידים את אישורי ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

משלימים את הסבב:
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```

REST v1beta4

מורידים את אישורי ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

משלימים את הסבב:
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```

אם מופיעה השגיאה No upcoming/previous Server CA Certificate exists כשמנסים להחליף אישור, צריך לוודא שמריצים את הפקודה במופע שמשתמש בהיררכיית CA לכל מופע. אפשר לראות איזו היררכיית CA מוגדרת למופע Cloud SQL באמצעות הפקודה gcloud sql instances describe. מידע נוסף זמין במאמר בנושא צפייה בפרטי המופע.

ביטול פעולה של רוטציה של אישורים

אחרי שמבצעים רוטציה של אישורים, כל הלקוחות צריכים להשתמש באישור החדש כדי להתחבר למופע Cloud SQL. אם הלקוחות לא מעודכנים בצורה נכונה כדי להשתמש בפרטי האישור החדשים, הם לא יכולים להתחבר למופע באמצעות SSL/TLS. במקרה כזה, אפשר לחזור להגדרות הקודמות של האישור.

פעולת חזרה לגרסה קודמת מעבירה את האישור הפעיל למשבצת 'בקרוב' (ומחליפה כל אישור 'בקרוב'). האישור 'הקודם' הופך לאישור הפעיל, והגדרת האישור חוזרת למצב שבו הייתה לפני שהשלמתם את הרוטציה.

כדי לחזור להגדרת האישור הקודמת:

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
בוחרים באפשרות החזרת אישור CA.
אם אין אישורים שעומדים בדרישות, האפשרות לביטול השינוי לא זמינה. אחרת, פעולת החזרה לגרסה הקודמת מסתיימת אחרי כמה שניות.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

מורידים את אישורי ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

מעתיקים את השדה sha1Fingerprint של הגרסה שאליה רוצים לחזור.
מחפשים את הגרסה עם הערך createTime שמופיע מיד לפני הגרסה עם הערך sha1Fingerprint שמוצג כ-activeVersion.
החזרה למצב הקודם של הסבב:
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa
```
תוכן בקשת JSON:
```
{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```

REST v1beta4

מורידים את אישורי ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

מעתיקים את השדה sha1Fingerprint של הגרסה שאליה רוצים לחזור.
מחפשים את הגרסה עם הערך createTime שמופיע מיד לפני הגרסה עם הערך sha1Fingerprint שמוצג כ-activeVersion.
החזרה למצב הקודם של הסבב:
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa
```
תוכן בקשת JSON:
```
{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```

אם מופיעה שגיאה כשמנסים לבטל את השינוי של רוטציה של CA של אישור, עם ההודעה No upcoming/previous Server CA Certificate exists, צריך לוודא שמריצים את הפקודה במופע שמשתמש בהיררכיית CA לכל מופע. אפשר לראות איזו היררכיית CA מוגדרת למופע Cloud SQL באמצעות הפקודה gcloud sql instances describe. מידע נוסף זמין במאמר בנושא צפייה בפרטי המופע.

התחלת סבב

לא צריך לחכות לאימייל מ-Cloud SQL כדי להתחיל בהחלפה. אפשר להתחיל שיחה בכל שלב. כשמתחילים רוטציה, נוצר אישור חדש והוא מוצב במשבצת 'בקרוב'. אם יש כבר אישור במשבצת 'בקרוב' בזמן הבקשה, האישור הזה יימחק. יכול להיות רק אישור אחד שצפוי להתקבל.

כדי להתחיל סיבוב:

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
לוחצים על יצירת אישור CA חדש.
בוחרים באפשרות החלפת אישור CA.
אם אין אישורים שעומדים בדרישות, אפשרות הרוטציה לא תהיה זמינה.
משלימים את הסבב כמו שמתואר במאמר בנושא החלפת אישורי CA של השרת.

gcloud

מתחילים את הסבב:

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME

משלימים את הסבב כמו שמתואר במאמר בנושא החלפת אישורי CA של השרת.

REST v1

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```
משלימים את הסבב כמו שמתואר במאמר בנושא החלפת אישורי CA של השרת.

REST v1beta4

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```
משלימים את הסבב כמו שמתואר במאמר בנושא החלפת אישורי CA של השרת.

קבלת מידע על אישור CA של שרת

אתם יכולים לקבל מידע על אישור ה-CA של השרת, כמו מועד התפוגה שלו או רמת ההצפנה שהוא מספק.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
בקטע ניהול אישורי CA של שרת, אפשר לראות את תאריך התפוגה של אישור ה-CA של השרת בטבלה.

כדי לראות את סוג האישור, משתמשים בפקודה gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

כשמתארים את המופע, אפשר לראות פרטים על אישור ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

REST v1beta4

כשמתארים את המופע, אפשר לראות פרטים על אישור ה-CA של השרת:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

צפייה בתוכן של אישורי CA

אפשר להשתמש ב-openssl storeutl כדי לראות את התוכן של אישורי CA.

כשמריצים את הפקודה sql ssl server-ca-certs list יכול להיות שיוצגו כמה אישורי CA מפעולות קודמות שקשורות להחלפה.

gcloud

מריצים את הפקודה הבאה:

gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

מחליפים את INSTANCE_NAME בשם המכונה.

משתמשים ב-openssl כדי לבדוק את התוכן של אישורי ה-CA.

openssl storeutl -noout -text temp_cert.pem

הצגת התוכן של אישור שרת

אפשר להשתמש ב-nmap כדי להציג את התוכן של אישורי שרת. כדי להוריד ולהתקין את nmap, עוברים אל https://nmap.org/.

gcloud

כדי לראות את תוכן אישור השרת, מריצים את הפקודה הבאה:

nmap -sV -p 1433 --script ssl-cert INSTANCE_IP_ADDRESS -Pn

מחליפים את INSTANCE_IP_ADDRESS בכתובת ה-IP של המכונה.

הודעה על תפוגה של אישור SSL בשרת חיצוני

אם תוקף אישור ה-CA של השרת החיצוני עומד לפוג, צריך לעדכן את אישורי ה-SSL, כולל אישור ה-CA של השרת במופע המקומי. השלב הזה תלוי באופן הניהול של המופע המקומי. השלבים עשויים להיות שונים אם, לדוגמה, אתם משתמשים באישור CA של שרת RDS, באישור CA של שרת Cloud SQL או באישור CA של שרת כללי למסד נתונים.
אם תוקף אישור הלקוח עומד לפוג, צריך ליצור אישור ומפתח חדשים. ההגבלה הזו חלה גם על אישורי SSL בניהול Google Cloudוגם על אישורים בחתימה עצמית.
מעדכנים את מופע הייצוג של מקור Cloud SQL עם אישורי ה-SSL החדשים.

ניהול אישורי שרת (CA משותף)

בקטע הזה מוסבר איך לנהל אישורי שרת במופעים שמשתמשים ב-CA משותפים או ב-CA בניהול הלקוח.

כדי להשתמש ב-CA משותף במצב שרת CA עבור המופע, צריך לציין GOOGLE_MANAGED_CAS_CA בהגדרה serverCaMode (Cloud SQL Admin API) או בדגל --server-ca-mode (ה-CLI של gcloud) כשיוצרים או עורכים את המופע.

כדי להשתמש ב-CA בניהול הלקוח כמצב CA של השרת במופע, צריך לציין CUSTOMER_MANAGED_CAS_CA בהגדרה serverCaMode (Cloud SQL Admin API) או בדגל --server-ca-mode (ה-CLI של gcloud) כשיוצרים או עורכים את המופע, וצריך שיהיה מאגר CA ו-CA תקינים. מידע נוסף מופיע במאמר בנושא שימוש ב-CA בניהול הלקוח.

הפעלה או השבתה של רוטציה אוטומטית של אישורי שרת

מומלץ להפעיל רוטציה אוטומטית של אישורי שרת. כשהתכונה הזו מופעלת, Cloud SQL מבצע רוטציה אוטומטית של אישור השרת במהלך עדכון התחזוקה המתוזמן באופן קבוע או כשמבצעים תחזוקה בשירות עצמי עד 180 ימים לפני שתוקף האישור פג. רוטציה אוטומטית של אישורים עוזרת לכם להימנע מהפרעות בחיבור שנגרמות בגלל אישורים שתוקפם פג, ומבטלת את הצורך ברוטציה ידנית של האישורים.

אפשר להפעיל את הרוטציה האוטומטית של אישורי השרת כשיוצרים את המופע או כשעורכים את המופע הקיים.

בתהליך הבא מוסבר איך לערוך מופע קיים כדי להפעיל או להשבית את הרוטציה האוטומטית של אישורי השרת.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
לוחצים על Edit.
בקטע Customize your instance (התאמה אישית של המופע), מרחיבים את האפשרות Show configuration options (הצגת אפשרויות ההגדרה).
לוחצים על Security כדי להרחיב את הקטע של הגדרות האבטחה.
מבצעים אחת מהפעולות הבאות:
- כדי להפעיל סיבוב אוטומטי של אישורי שרת, מסמנים את התיבה Rotate server certificates automatically.
- כדי להשבית את הרוטציה האוטומטית של אישורי השרת, מבטלים את הסימון בתיבה Rotate server certificates automatically.
לוחצים על Save.

gcloud

כדי לערוך את מצב הרוטציה של אישורי השרת עבור מופע, משתמשים בפקודה gcloud sql instances patch:

gcloud sql instances patch INSTANCE_NAME \
  --project=PROJECT_ID \
  --server-certificate-rotation-mode=SERVER_CERTIFICATE_ROTATION_MODE

מחליפים את הפרטים הבאים:

‫INSTANCE_NAME: השם של מופע Cloud SQL שיש לו אישור שרת שאתם משנים
‫PROJECT_ID: המזהה או מספר הפרויקט של פרויקט Google Cloud שמכיל את המופע
‫SERVER_CERTIFICATE_ROTATION_MODE: מציינים NO_AUTOMATIC_ROTATION או AUTOMATIC_ROTATION_DURING_MAINTENANCE.

REST v1

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: המזהה או מספר הפרויקט של הפרויקט ב- Google Cloud . הפרויקט הזה מכיל מופע Cloud SQL עם אישור שרת שאתם מנהלים.
‫INSTANCE_NAME: השם של המכונה.
‫SERVER_CERTIFICATE_ROTATION_MODE: מציינים NO_AUTOMATIC_ROTATION או AUTOMATIC_ROTATION_DURING_MAINTENANCE.

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME

תוכן בקשת JSON:

{
  "kind": "sql#instance",
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "settings": {
    "ipConfiguration": {
      "serverCertificateRotationMode": "SERVER_CERTIFICATE_ROTATION_MODE"
    },
    "kind": "sql#settings"
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2026-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

כדי לראות איך בקשת ה-REST API הבסיסית מורכבת עבור המשימה הזו, אפשר לעיין בדף instances:patch ב-APIs Explorer.

REST v1beta4

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: המזהה או מספר הפרויקט של הפרויקט ב- Google Cloud . הפרויקט הזה מכיל מופע Cloud SQL עם אישור שרת שאתם מנהלים.
‫INSTANCE_NAME: השם של המכונה.
‫SERVER_CERTIFICATE_ROTATION_MODE: מציינים NO_AUTOMATIC_ROTATION או AUTOMATIC_ROTATION_DURING_MAINTENANCE.

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_NAME

תוכן בקשת JSON:

{
  "kind": "sql#instance",
  "name": "INSTANCE_NAME",
  "project": "PROJECT_ID",
  "settings": {
    "ipConfiguration": {
      "serverCertificateRotationMode": "SERVER_CERTIFICATE_ROTATION_MODE"
    },
    "kind": "sql#settings"
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_NAME"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_NAME" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_NAME",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2026-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_NAME",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

כדי לראות איך בקשת ה-REST API הבסיסית מורכבת עבור המשימה הזו, אפשר לעיין בדף instances:patch ב-APIs Explorer.

סבב ידני של אישורי שרת

אם קיבלתם הודעה על כך שתוקף אישורי השרת שלכם עומד לפוג או שאתם רוצים להתחיל בהחלפה אבל לא הפעלתם החלפה אוטומטית של אישורי השרת, אתם צריכים לבצע את השלבים הבאים כדי להשלים את ההחלפה. לפני שמתחילים את הרוטציה, צריך ליצור אישור שרת חדש לרוטציה הקרובה. אם כבר נוצר אישור שרת חדש לרוטציה הקרובה, אפשר לדלג על השלב הראשון בתהליך הבא.

כדי לבצע רוטציה של אישור השרת במופע, פועלים לפי השלבים הבאים:

אם אתם צריכים אישור שרת חדש, צרו אחד.
אם הלקוחות שלכם כבר סומכים על חבילת האישורים האזורית העדכנית, השלב הזה הוא אופציונלי. אבל אם אתם צריכים לעדכן את הלקוחות בפרטי CA של השרת, אתם צריכים לבצע את הפעולות הבאות:
1. מורידים את המידע העדכני על אישור ה-CA של השרת.
2. מעדכנים את הלקוחות כדי להשתמש במידע העדכני ביותר על CA של השרת.
כדי להשלים את הרוטציה, מעבירים את האישור הפעיל למשבצת הקודמת ומעדכנים את האישור החדש כך שיהיה האישור הפעיל.

המסוף

מורידים את פרטי אישור ה-CA של השרת, שמקודדים כקובץ PEM, לסביבה המקומית:

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
מוודאים שהאפשרות Rotate server certificate (החלפת אישור השרת) מופיעה כאפשרות זמינה, אבל לא בוחרים בה עדיין.
אם אין אישורים שעומדים בדרישות, האפשרות rotate (סיבוב) לא זמינה. צריך ליצור אישור שרת חדש.
לוחצים על הורדת אישורים.

כדי לעדכן את כל הלקוחות של SQL Server כך שישתמשו במידע החדש, מעתיקים את הקובץ שהורד למחשבי המארח של הלקוחות ומחליפים את הקובץ הקיים server-ca.pem.

אחרי שמעדכנים את הלקוחות, משלימים את הרוטציה:

חוזרים לכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
בוחרים באפשרות החלפת אישור.
בתיבת הדו-שיח Confirm certificate rotation (אישור החלפת אישורים), לוחצים על Rotate (החלפה).
מוודאים שהלקוחות מתחברים בצורה תקינה.

אם יש לקוחות שלא מתחברים באמצעות האישור החדש, אפשר לבחור באפשרות החזרת האישור כדי לחזור להגדרה הקודמת.

gcloud

כדי ליצור אישור שרת, משתמשים בפקודה הבאה:
```
gcloud sql ssl server-certs create \
--instance=INSTANCE
```

INSTANCE

מוודאים שמשתמשים בחבילת האישורים העדכנית ביותר. אם לא משתמשים בחבילת ה-CA העדכנית, מריצים את הפקודה הבאה כדי להוריד את פרטי ה-CA העדכניים של השרת עבור המופע לקובץ PEM מקומי:
```
gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem
```
אפשר גם להוריד את חבילות ה-CA מהטבלה חבילת אישורי CA אזוריים ובסיסיים בדף הזה.

לאחר מכן מעדכנים את כל הלקוחות כך שישתמשו במידע חדש על אישור ה-CA של השרת. לשם כך, מעתיקים את הקובץ שהורדתם למחשבי המארחים של הלקוחות ומחליפים את הקבצים הקיימים server-ca.pem.
אחרי שתעדכנו את כל הלקוחות (אם נדרשים עדכונים ללקוחות), תצטרכו להשלים את הרוטציה:
```
gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME
      
```
מוודאים שהלקוחות מתחברים בצורה תקינה.

אם יש לקוחות שלא מתחברים באמצעות אישור השרת החדש, צריך לחזור להגדרה הקודמת.

REST v1

יוצרים אישור שרת.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

אם אתם צריכים להוריד מידע על אישור CA של השרת, אתם יכולים להשתמש בפקודה הבאה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

משלימים את הסבב.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/operation-id",
  "targetProject": "PROJECT_ID"
}
```

REST v1beta4

יוצרים אישור שרת.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

אם אתם צריכים להוריד מידע על אישור CA של השרת, אתם יכולים להשתמש בפקודה הבאה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

משלימים את הסבב.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

חזרה לגרסה קודמת של רוטציית אישורים

אחרי שמסיימים את הרוטציה של אישור השרת, כל הלקוחות צריכים להשתמש באישור החדש כדי להתחבר למופע Cloud SQL. אם הלקוחות לא מעודכנים בצורה נכונה כדי להשתמש בפרטי האישור החדשים, הם לא יכולים להתחבר למופע באמצעות SSL/TLS. במקרה כזה, אפשר לחזור להגדרות הקודמות של האישור.

פעולת חזרה אחורה מעבירה את האישור הפעיל למשבצת 'בקרוב', שמחליפה כל אישור 'בקרוב'. האישור 'הקודם' הופך לאישור הפעיל, והגדרת האישור חוזרת למצב הקודם שלה לפני שהשלמתם את הרוטציה.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
לוחצים על הכרטיסייה אבטחה.
לוחצים על ניהול אישורים כדי להרחיב אותו.
בוחרים באפשרות Rollback server certificate (החזרה לאחור של אישור השרת).
אם אין אישורים שעומדים בדרישות, האפשרות לביטול השינוי לא זמינה.
בתיבת הדו-שיח Confirm certificate rollback (אישור החזרה לגרסה קודמת של האישור), לוחצים על Rollback (חזרה לגרסה קודמת).
החזרה לגרסה הקודמת עשויה להימשך כמה שניות.

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

מציגים את רשימת אישורי השרת.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

מעתיקים את השדה sha1Fingerprint של הגרסה שאליה רוצים לחזור.

מחפשים את הגרסה עם הערך createTime שקודם לערך sha1Fingerprint שמוצג כ-activeVersion.
חזרה למצב הקודם של הסבב.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate
```
תוכן בקשת JSON:
```
{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

REST v1beta4

מציגים את רשימת אישורי השרת.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

מעתיקים את השדה sha1Fingerprint של הגרסה שאליה רוצים לחזור.

מחפשים את הגרסה עם הערך createTime שקודם לערך sha1Fingerprint שמוצג כ-activeVersion.
חזרה למצב הקודם של הסבב.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫INSTANCE_ID: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate
```
תוכן בקשת JSON:
```
{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}
```

צפייה בתוכן של אישורי CA

אפשר להשתמש בכלי השירות openssl storeutl כדי לראות את התוכן של אישורי CA.

כשמריצים את הפקודה sql ssl server-certs list, תמיד מקבלים כמה אישורי CA בגלל שרשרת האמון. יכול להיות שתקבלו גם כמה אישורי CA מפעולות קודמות שקשורות להחלפה.

gcloud

מריצים את הפקודה הבאה:

gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(ca_cert.cert)' > temp_cert.pem

מחליפים את INSTANCE_NAME בשם המכונה.

משתמשים ב-openssl כדי לבדוק את התוכן של אישורי ה-CA.

openssl storeutl -noout -text temp_cert.pem

הורדת חבילות של אישורי CA בסיסיים ואזוריים עבור CA משותף

אם אתם משתמשים בהגדרת CA משותפת שמנוהלת על ידי Google, אתם יכולים להוריד את חבילות אישורי ה-CA הבסיסיים והאזוריים מהטבלה הבאה.

חבילות האישורים האלה לא חלות על מקרים שבהם נעשה שימוש באפשרויות של CA לכל מופע או בניהול הלקוח.

	שם האזור	מיקום	חבילת אישורים
גלובלי
	CA לכל האזורים	כל המיקומים	`global.pem`
אסיה
	`asia-east1`	טייוואן	`asia-east1.pem`
	`asia-east2`	הונג קונג	`asia-east2.pem`
	`asia-northeast1`	טוקיו	`asia-northeast1.pem`
	`asia-northeast2`	אוסקה	`asia-northeast2.pem`
	`asia-northeast3`	סיאול	`asia-northeast3.pem`
	`asia-south1`	מומבאי	`asia-south1.pem`
	`asia-south2`	דלהי	`asia-south2.pem`
	`asia-southeast1`	סינגפור	`asia-southeast1.pem`
	`asia-southeast2`	ג'קארטה	`asia-southeast2.pem`
אפריקה
	`africa-south1`	יוהנסבורג	`africa-south1.pem`
אוסטרליה
	`australia-southeast1`	סידני	`australia-southeast1.pem`
	`australia-southeast2`	מלבורן	`australia-southeast2.pem`
אירופה
	`europe-central2`	ורשה	`europe-central2.pem`
	`europe-north1`	פינלנד	`europe-north1.pem`
	`europe-north2`	שטוקהולם	`europe-north2.pem`
	`europe-southwest1`	מדריד	`europe-southwest1.pem`
	`europe-west1`	בלגיה	`europe-west1.pem`
	`europe-west2`	לונדון	`europe-west2.pem`
	`europe-west3`	פרנקפורט	`europe-west3.pem`
	`europe-west4`	הולנד	`europe-west4.pem`
	`europe-west6`	ציריך	`europe-west6.pem`
	`europe-west8`	מילאנו	`europe-west8.pem`
	`europe-west9`	פריז	`europe-west9.pem`
	`europe-west10`	ברלין	`europe-west10.pem`
	`europe-west12`	טורינו	`europe-west12.pem`
המזרח התיכון
	`me-central1`	דוחה	`me-central1.pem`
	`me-central2`	דמאם	`me-central2.pem`
	`me-west1`	תל אביב	`me-west1.pem`
צפון אמריקה
	`northamerica-northeast1`	מונטריאול	`northamerica-northeast1.pem`
	`northamerica-northeast2`	טורונטו	`northamerica-northeast2.pem`
	`northamerica-south1`	מקסיקו	`northamerica-south1.pem`
	`us-central1`	איווה	`us-central1.pem`
	`us-east1`	דרום קרוליינה	`us-east1.pem`
	`us-east4`	צפון וירג'יניה	`us-east4.pem`
	`us-east5`	קולומבוס	`us-east5.pem`
	`us-south1`	דאלאס	`us-south1.pem`
	`us-west1`	אורגון	`us-west1.pem`
	`us-west2`	לוס-אנג׳לס	`us-west2.pem`
	`us-west3`	סולט לייק סיטי	`us-west3.pem`
	`us-west4`	לאס וגאס	`us-west4.pem`
דרום אמריקה
	`southamerica-east1`	סאו פאולו	`southamerica-east1.pem`
	`southamerica-west1`	סנטיאגו	`southamerica-west1.pem`

איפוס ההגדרה של SSL/TLS

אפשר לאפס לגמרי את ההגדרה של SSL/TLS.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות Connections (קישורים).
עוברים אל הקטע איפוס הגדרת SSL.
לוחצים על איפוס הגדרת SSL.

gcloud

מרעננים את האישור:

gcloud sql instances reset-ssl-config INSTANCE_NAME

REST v1beta4

מרעננים את האישור:

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫project-id: מזהה הפרויקט
- ‫instance-id: מזהה המכונה
ה-method של ה-HTTP וכתובת ה-URL:
```
POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
תשובה
```
{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}
```

ניהול אישורי SSL/TLS קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

שימוש בחיבורים מוצפנים

ניהול אישורי CA של שרת (CA לכל מופע)

החלפת אישורי CA של השרת

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

REST v1beta4

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

ביטול פעולה של רוטציה של אישורים

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

REST v1beta4

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

התחלת סבב

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

REST v1beta4

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

קבלת מידע על אישור CA של שרת

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

REST v1beta4

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

תשובה

צפייה בתוכן של אישורי CA

gcloud

הצגת התוכן של אישור שרת

gcloud

הודעה על תפוגה של אישור SSL בשרת חיצוני

ניהול אישורי שרת (CA משותף)

הפעלה או השבתה של רוטציה אוטומטית של אישורי שרת

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

REST v1beta4

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

סבב ידני של אישורי שרת

המסוף

gcloud

REST v1

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

ניהול אישורי SSL/TLS