SSL/TLS 인증서 관리

MySQL | PostgreSQL | SQL Server

이 페이지에서는 클라이언트 및 서버 인증 기관(CA) 인증서를 관리하는 방법을 설명합니다.

클라이언트 인증서 관리

다음 절차에 따라 Cloud SQL에서 클라이언트 인증서를 관리합니다.

클라이언트 인증서 검색

사용자는 클라이언트 인증서의 공개 키 부분을 검색할 수 있습니다. 그러나 비공개 키는 검색할 수 없습니다. 비공개 키를 분실할 경우 새 인증서를 만들어야 합니다.

콘솔

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
클라이언트 인증서 관리에서 인증서 이름을 클릭합니다.
SSL 클라이언트 인증서 페이지가 열리고 클라이언트 인증서(client-cert.pem)가 표시됩니다. 에 인증서를 다운로드할 수 있는 링크도 표시됩니다.

gcloud

ssl client-certs describe 명령어로 클라이언트 인증서 공개 키를 검색합니다.

gcloud sql ssl client-certs describe CERT_NAME \
--instance=INSTANCE_NAME \
--format="value(cert)" > client-cert.pem

REST v1

인스턴스의 인증서를 나열하여 검색하려는 인증서의 디지털 지문을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- project-id: 프로젝트 ID
- instance-id: 인스턴스 ID
HTTP 메서드 및 URL:
```
GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
응답
```
{
  "kind": "sql#sslCertsList",
  "items": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint"
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    }
  ]
}
```
검색하려는 인증서의 sha1Fingerprint 필드를 기록합니다. 따옴표를 포함하지 마세요.

인증서를 검색합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID
sha1FingerPrint: 인증서의 sha1FingerPrint

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#sslCert",
  "certSerialNumber": "cert-serial-number",
  "cert": "cert-value",
  "commonName": "ca-server-name",
  "sha1Fingerprint": "sha1Fingerprint"
  "instance": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
  "createTime": "2020-02-13T00:10:20.595Z",
  "expirationTime": "2030-02-10T00:11:20.595Z"
}

따옴표로 묶인 인증서 데이터를 모두 파일(예: client-cert.pem)에 복사합니다. 따옴표를 복사하지 마세요.

REST v1beta4

인스턴스의 인증서를 나열하여 검색하려는 인증서의 디지털 지문을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- project-id: 프로젝트 ID
- instance-id: 인스턴스 ID
HTTP 메서드 및 URL:
```
GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
응답
```
{
  "kind": "sql#sslCertsList",
  "items": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint"
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    }
  ]
}
```
검색하려는 인증서의 sha1Fingerprint 필드를 기록합니다. 따옴표를 포함하지 마세요.

인증서를 검색합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID
sha1FingerPrint: 인증서의 sha1FingerPrint

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#sslCert",
  "certSerialNumber": "cert-serial-number",
  "cert": "cert-value",
  "commonName": "ca-server-name",
  "sha1Fingerprint": "sha1Fingerprint"
  "instance": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
  "createTime": "2020-02-13T00:10:20.595Z",
  "expirationTime": "2030-02-10T00:11:20.595Z"
}

따옴표로 묶인 인증서 데이터를 모두 파일(예: client-cert.pem)에 복사합니다. 따옴표를 복사하지 마세요.

클라이언트 인증서 삭제

클라이언트 인증서를 삭제하면 데이터베이스 서버가 업데이트되므로 다시 시작할 필요가 없습니다.

Console

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
클라이언트 인증서 관리에서 삭제할 인증서를 찾아 아이콘을 클릭합니다.
클라이언트 인증서 삭제 창에서 확인을 클릭합니다.

gcloud

ssl client-certs delete 명령어를 사용하여 클라이언트 인증서를 삭제합니다.

gcloud sql ssl client-certs delete CERT_NAME \
--instance=INSTANCE_NAME

REST v1

인스턴스의 인증서를 나열하여 삭제하려는 인증서의 디지털 지문을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- project-id: 프로젝트 ID
- instance-id: 인스턴스 ID
HTTP 메서드 및 URL:
```
GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
응답
```
{
  "kind": "sql#sslCertsList",
  "items": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint"
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    }
  ]
}
```
삭제하려는 인증서의 sha1Fingerprint 필드를 기록합니다. 따옴표를 포함하지 마세요.

인증서를 삭제합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID
sha1FingerPrint: 인증서의 sha1FingerPrint

HTTP 메서드 및 URL:

DELETE https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

인스턴스의 인증서를 나열하여 삭제하려는 인증서의 디지털 지문을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- project-id: 프로젝트 ID
- instance-id: 인스턴스 ID
HTTP 메서드 및 URL:
```
GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
응답
```
{
  "kind": "sql#sslCertsList",
  "items": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint"
      "instance": "instance-id",
      "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint",
      "createTime": "2020-02-13T00:10:20.595Z",
      "expirationTime": "2030-02-10T00:11:20.595Z"
    }
  ]
}
```
삭제하려는 인증서의 sha1Fingerprint 필드를 기록합니다. 따옴표를 포함하지 마세요.

인증서를 삭제합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID
sha1FingerPrint: 인증서의 sha1FingerPrint

HTTP 메서드 및 URL:

DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/sslCerts/sha1FingerPrint" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

서버 CA 인증서 관리(인스턴스별 CA)

이 섹션에서는 Cloud SQL에서 내부적으로 생성된 서버 CA 인증서를 관리하는 방법을 설명합니다. 이 인증서는 Cloud SQL의 기본 서버 CA 모드입니다. 이 인증 기관 계층 구조에서 Cloud SQL은 인스턴스마다 서버 CA를 만듭니다.

서버 CA 인증서 순환

인증서 만료 알림을 받았거나 순환을 시작하려면 다음 단계를 수행하여 순환을 완료합니다. 순환을 시작하기 전에 인스턴스에 새 서버 CA가 있어야 합니다. 새 서버 CA가 이미 생성된 경우 다음 절차의 첫 번째 단계를 건너뛰어도 됩니다.

새 서버 CA를 만듭니다.
새 서버 CA 인증서 정보를 다운로드합니다.
새 서버 CA 인증서 정보를 사용하도록 클라이언트를 업데이트합니다.
순환을 완료합니다. 그러면 활성화된 인증서가 '이전' 슬롯으로 이동하고 새로 추가된 인증서가 활성 인증서로 업데이트됩니다.

콘솔

PEM 파일로 인코딩된 새 서버 CA 인증서를 로컬 환경에 다운로드합니다.

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
인증서 관리를 클릭하여 펼칩니다.
CA 인증서 순환을 선택합니다.
적격한 인증서가 없으면 순환 옵션을 사용할 수 없습니다. 새 서버 CA 인증서를 만들어야 합니다.
인증서 다운로드를 클릭합니다.

다운로드된 파일을 클라이언트 호스트 머신에 복사하여 기존 server-ca.pem 파일을 대체해서 새 정보를 사용하도록 모든 기존 PostgreSQL 클라이언트를 업데이트합니다.

클라이언트를 업데이트한 후 순환을 완료합니다.

보안 탭으로 돌아갑니다.
인증서 관리를 클릭하여 펼칩니다.
CA 인증서 순환을 선택합니다.
클라이언트가 올바르게 연결되는지 확인합니다.

클라이언트가 새로 순환된 인증서를 통해 연결되지 않으면 CA 인증서 롤백을 선택하여 이전 구성으로 롤백할 수 있습니다.

gcloud

서버 CA 인증서를 만듭니다.

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE

인증서 정보를 로컬 PEM 파일로 다운로드합니다.

gcloud sql ssl server-ca-certs list \
--format="value(cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/FILE_NAME.pem

다운로드된 파일을 클라이언트 호스트 머신에 복사하고 기존 server-ca.pem 파일을 대체하여 모든 클라이언트에서 새 정보를 사용하도록 업데이트합니다.

클라이언트를 업데이트한 후 순환을 완료합니다.

gcloud sql ssl server-ca-certs rotate \
--instance=INSTANCE_NAME

클라이언트가 올바르게 연결되는지 확인합니다.

클라이언트가 새로 순환된 인증서를 통해 연결되지 않는 경우 이전 구성으로 롤백할 수 있습니다.

REST v1

서버 CA 인증서를 다운로드합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

순환을 완료합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

서버 CA 인증서를 다운로드합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

순환을 완료합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

No upcoming/previous Server CA Certificate exists라고 표시된 인증서를 순환하려고 할 때 오류가 발생하면 인스턴스별 CA 계층 구조를 사용하는 인스턴스에서 명령어를 실행하고 있는지 확인합니다. gcloud sql instances describe 명령어를 사용하여 Cloud SQL 인스턴스에 구성된 CA 계층 구조를 볼 수 있습니다. 자세한 내용은 인스턴스 정보 보기를 참조하세요.

인증서 순환 작업 롤백

인증서 순환을 완료하고 나면 클라이언트가 모두 새 인증서를 사용하여 Cloud SQL 인스턴스에 연결해야 합니다. 클라이언트가 새 인증서 정보를 사용하도록 올바르게 업데이트되지 않으면 SSL/TLS를 사용하여 인스턴스에 연결할 수 없습니다. 이러한 경우에는 이전 인증서 구성으로 롤백할 수 있습니다.

롤백 작업은 활성화된 인증서를 '예정' 슬롯으로 옮깁니다(모든 '예정' 인증서가 대체됨). '이전' 인증서가 활성 인증서가 되고, 인증서 구성이 순환이 완료되기 이전의 상태로 돌아갑니다.

이전 인증서 구성으로 롤백하려면 다음 안내를 따르세요.

콘솔

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
인증서 관리를 클릭하여 펼칩니다.
CA 인증서 롤백을 선택합니다.
적격한 인증서가 없으면 롤백 옵션을 사용할 수 없습니다. 그렇지 않으면 롤백 작업은 몇 초 후에 완료됩니다.

gcloud

gcloud sql ssl server-ca-certs rollback \
--instance=INSTANCE_NAME

REST v1

서버 CA 인증서를 다운로드합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

롤백하려는 버전의 sha1Fingerprint 필드를 복사합니다.
activeVersion으로 표시되는 sha1Fingerprint 값을 포함한 버전의 바로 이전 버전(createTime 값 포함)을 찾습니다.

순환을 롤백합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

JSON 요청 본문:

{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

서버 CA 인증서를 다운로드합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/listServerCas" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "certs": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2020-02-10T17:18:54.935Z",
      "expirationTime": "2030-02-07T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
       certSerialNumber": "cert-serial-number",
      "cert": "cert-value",
      "commonName": "ca-server-name",
      "sha1Fingerprint": "sha1Fingerprint",
      "instance": "instance-id",
      "createTime": "2019-11-14T22:43:56.458Z",
      "expirationTime": "2029-11-11T22:44:56.458Z"
    }
  ],
  "activeVersion": "active-version",
  "kind": "sql#instancesListServerCas"
}

롤백하려는 버전의 sha1Fingerprint 필드를 복사합니다.
activeVersion으로 표시되는 sha1Fingerprint 값을 포함한 버전의 바로 이전 버전(createTime 값 포함)을 찾습니다.

순환을 롤백합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

JSON 요청 본문:

{
  "rotateServerCaContext": {"nextVersion": "sha1Fingerprint"}
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

No upcoming/previous Server CA Certificate exists라고 표시된 인증서 CA 순환을 롤백하려고 할 때 오류가 발생하면 인스턴스별 CA 계층 구조를 사용하는 인스턴스에서 명령어를 실행하고 있는지 확인합니다. gcloud sql instances describe 명령어를 사용하여 Cloud SQL 인스턴스에 구성된 CA 계층 구조를 볼 수 있습니다. 자세한 내용은 인스턴스 정보 보기를 참고하세요.

순환 시작

Cloud SQL의 이메일을 기다렸다가 순환을 시작할 필요는 없습니다. 언제든지 순환을 시작해도 됩니다. 순환을 시작하면 새 인증서가 생성되어 '예정' 슬롯에 배치됩니다. 요청 시점에 인증서가 '예정' 슬롯에 이미 있는 경우 해당 인증서는 삭제됩니다. 예정된 인증서는 1개만 있을 수 있습니다.

순환을 시작하려면 다음 안내를 따르세요.

콘솔

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
인증서 관리를 클릭하여 펼칩니다.
새 CA 인증서 만들기를 클릭합니다.
CA 인증서 순환을 선택합니다.
적격한 인증서가 없으면 순환 옵션을 사용할 수 없습니다.
서버 CA 인증서 순환에 설명된 대로 순환을 완료합니다.

gcloud

순환을 시작합니다.

gcloud sql ssl server-ca-certs create \
--instance=INSTANCE_NAME

서버 CA 인증서 순환에 설명된 대로 순환을 완료합니다.

REST v1

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

서버 CA 인증서 순환에 설명된 대로 순환을 완료합니다.

REST v1beta4

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/rotateServerCa" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

서버 CA 인증서 순환에 설명된 대로 순환을 완료합니다.

서버 CA 인증서에 대한 정보 가져오기

서버 CA 인증서가 만료되는 시기, 서버 인증서가 제공하는 암호화 수준과 같은 서버 인증서 관련 정보를 확인할 수 있습니다.

콘솔

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
서버 CA 인증서 관리의 표에서 서버 CA 인증서의 만료일을 확인할 수 있습니다.

인증서 유형을 확인하려면 gcloud sql ssl server-ca-certs list --instance=INSTANCE_NAME 명령어를 실행합니다.

gcloud

gcloud sql ssl server-ca-certs list \
--instance=INSTANCE_NAME

REST v1

인스턴스를 설명할 때 서버 CA 인증서에 대한 세부정보를 볼 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

REST v1beta4

인스턴스를 설명할 때 서버 CA 인증서에 대한 세부정보를 볼 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id?fields=serverCaCert" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "serverCaCert":
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "cert-serial-number",
    "cert": "cert-value-",
    "commonName": "ca-server-name",
    "sha1Fingerprint": "sha1Fingerprint",
    "instance": "instance-id",
    "createTime": "2020-02-10T17:18:54.935Z",
    "expirationTime": "2030-02-07T17:19:54.935Z"
  }
}

CA 인증서 콘텐츠 보기

openssl storeutl을 사용하여 CA 인증서 콘텐츠를 볼 수 있습니다.

sql ssl server-ca-certs list 명령어를 실행하면 이전 순환 관련 작업에서 CA 인증서 여러 개가 반환될 수 있습니다.

gcloud

다음 명령어를 실행합니다.

gcloud sql ssl server-ca-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

INSTANCE_NAME을 인스턴스 이름으로 바꿉니다.

openssl을 사용하여 CA 인증서 콘텐츠를 검사합니다.

openssl storeutl -noout -text temp_cert.pem

서버 인증서 콘텐츠 보기

openssl s_client를 사용하여 서버 인증서 콘텐츠를 볼 수 있습니다.

gcloud

서버 인증서 콘텐츠를 보려면 다음 명령어를 실행합니다.

openssl s_client -starttls postgres -connect INSTANCE_IP_ADDRESS:5432

INSTANCE_IP_ADDRESS를 인스턴스 IP 주소로 바꿉니다.

외부 서버 SSL 만료 알림

외부 서버의 서버 CA 인증서가 만료되면 온프레미스 인스턴스의 서버 CA 인증서를 포함하여 SSL 인증서를 순환합니다. 이 단계는 온프레미스 인스턴스가 관리되는 방식에 따라 다릅니다. 예를 들어 RDS 서버 CA 인증서, Cloud SQL 서버 CA 인증서 또는 데이터베이스 일반 서버 CA 인증서를 사용하는 경우 단계가 다를 수 있습니다.
클라이언트 인증서가 만료되면 새 인증서와 키를 생성해야 합니다. 이는 Google Cloud관리형 SSL 인증서와 자체 서명 인증서 모두에 적용됩니다.
새 SSL 인증서로 Cloud SQL 소스 표현 인스턴스를 업데이트합니다.

서버 인증서 관리(공유 CA)

이 섹션에서는 공유 CA 또는 고객 관리 CA를 사용하는 인스턴스에서 서버 인증서를 관리하는 방법을 설명합니다.

인스턴스를 만들 때 serverCaMode 설정(Cloud SQL Admin API)에 GOOGLE_MANAGED_CAS_CA를 지정하거나 --server-ca-mode 플래그(gcloud CLI)를 지정하여 공유 CA를 인스턴스의 서버 CA 모드로 사용하도록 선택할 수 있습니다.

고객 관리 CA를 인스턴스의 서버 CA 모드로 사용하려면 인스턴스를 만들 때 serverCaMode 설정(Cloud SQL Admin API)에 CUSTOMER_MANAGED_CAS_CA를 지정하거나 --server-ca-mode 플래그(gcloud CLI)를 지정해야 하며 유효한 CA 풀과 CA가 있어야 합니다. 자세한 내용은 고객 관리 CA 사용을 참조하세요.

서버 인증서 순환

서버 인증서 만료 알림을 받았거나 순환을 시작하려면 다음 단계를 수행하여 순환을 완료합니다. 순환을 시작하기 전에 예정된 순환을 위해 새 서버 인증서가 생성되어 있어야 합니다. 예정된 순환을 위해 이미 새 서버 인증서가 생성된 경우 다음 절차의 첫 번째 단계를 건너뛰어도 됩니다.

인스턴스에서 서버 인증서를 순환하려면 다음 단계를 수행합니다.

새 서버 인증서가 필요하면 서버 인증서를 만듭니다.
클라이언트에서 이미 루트 CA를 신뢰하는 경우 이 단계는 선택사항입니다. 그러나 서버 CA 정보로 클라이언트를 업데이트해야 하는 경우에는 다음을 수행합니다.
1. 최신 서버 CA 정보를 다운로드합니다.
2. 클라이언트에서 최신 서버 CA 정보를 사용하도록 업데이트합니다.
활성 인증서를 이전 슬롯으로 이동하고 새 인증서가 활성 인증서가 되도록 업데이트하여 순환을 완료합니다.

콘솔

PEM 파일로 인코딩된 서버 CA 인증서 정보를 로컬 환경에 다운로드합니다.

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
인증서 관리를 클릭하여 펼칩니다.
서버 인증서 순환 옵션이 사용 가능한 옵션으로 표시되는지 확인합니다. 그러나 아직 선택하지 마세요.
적격한 인증서가 없으면 순환 옵션을 사용할 수 없습니다. 새 서버 인증서를 만들어야 합니다.
인증서 다운로드를 클릭합니다.

클라이언트를 업데이트한 후 순환을 완료합니다.

보안 탭으로 돌아갑니다.
인증서 관리를 클릭하여 펼칩니다.
인증서 순환을 선택합니다.
인증서 순환 확인 대화상자에서 순환을 클릭합니다.
클라이언트가 올바르게 연결되는지 확인합니다.

클라이언트가 새로 순환된 인증서를 통해 연결되지 않으면 인증서 롤백을 선택하여 이전 구성으로 롤백할 수 있습니다.

gcloud

서버 인증서를 만들려면 다음 명령어를 사용합니다.
```
gcloud sql ssl server-certs create \
--instance=INSTANCE
```

INSTANCE

최신 CA 번들을 사용하고 있는지 확인합니다. 최신 CA 번들을 사용하지 않는 경우 다음 명령어를 실행하여 인스턴스의 최신 서버 CA 정보를 로컬 PEM 파일에 다운로드합니다.
```
gcloud sql ssl server-certs list \
--format="value(ca_cert.cert)" \
--instance=INSTANCE_NAME > \
FILE_PATH/server-ca.pem
```
또는 이 페이지의 루트 및 리전 CA 인증서 번들 표에서 CA 번들을 다운로드합니다.

그런 다음 다운로드한 파일을 클라이언트 호스트 머신에 복사하고 기존 server-ca.pem 파일을 대체하여 모든 클라이언트에서 새 서버 CA 정보를 사용하도록 업데이트합니다.
모든 클라이언트를 업데이트한 후(클라이언트 업데이트가 필요한 경우) 순환을 완료합니다.
```
gcloud sql ssl server-certs rotate \
--instance=INSTANCE_NAME
      
```
클라이언트가 올바르게 연결되는지 확인합니다.

클라이언트가 새로 순환된 서버 인증서를 사용하여 연결되지 않으면 이전 구성으로 롤백합니다.

REST v1

서버 인증서를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

서버 CA 인증서 정보를 다운로드해야 하는 경우에는 다음 명령어를 사용하면 됩니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

순환을 완료합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/operation-id",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

서버 인증서를 만듭니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/addServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

서버 CA 인증서 정보를 다운로드해야 하는 경우에는 다음 명령어를 사용하면 됩니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

순환을 완료합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2024-09-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

인증서 순환 롤백

서버 인증서 순환을 완료한 후에는 모든 클라이언트에서 새 인증서를 사용하여 Cloud SQL 인스턴스에 연결해야 합니다. 클라이언트가 새 인증서 정보를 사용하도록 올바르게 업데이트되지 않으면 SSL/TLS를 사용하여 인스턴스에 연결할 수 없습니다. 이러한 경우에는 이전 인증서 구성으로 롤백하면 됩니다.

롤백 작업은 활성 인증서를 '예정' 슬롯으로 이동합니다. 활성 인증서는 모든 '예정' 인증서를 대체합니다. '이전' 인증서가 활성 인증서가 되고 인증서 구성이 순환이 완료되기 이전 상태로 돌아갑니다.

콘솔

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
보안 탭을 선택합니다.
인증서 관리를 클릭하여 펼칩니다.
서버 인증서 롤백을 선택합니다.
적격한 인증서가 없으면 롤백 옵션을 사용할 수 없습니다.
인증서 롤백 확인 대화상자에서 롤백을 선택합니다.
롤백을 완료하는 데 몇 초 정도 걸릴 수 있습니다.

gcloud

gcloud sql ssl server-certs rollback \
--instance=INSTANCE_NAME

REST v1

서버 인증서를 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

롤백하려는 버전의 sha1Fingerprint 필드를 복사합니다.

activeVersion으로 표시되는 sha1Fingerprint 값이 포함된 버전의 바로 이전 버전(createTime 값 포함)을 찾습니다.

순환을 롤백합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

JSON 요청 본문:

{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

서버 인증서를 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/listServerCertificates" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "caCerts": [
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_ONE",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_ONE",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-10T17:18:54.935Z",
      "expirationTime": "2034-07-10T17:19:54.935Z"
    },
    {
      "kind": "sql#sslCert",
      "certSerialNumber": "CERT_SERIAL_NUMBER_CA_CERT_TWO",
      "cert": "CERT_VALUE",
      "commonName": "CA_SERVER_NAME",
      "sha1Fingerprint": "sha1Fingerprint_CA_CERT_TWO",
      "instance": "INSTANCE_NAME",
      "createTime": "2024-07-14T22:43:56.458Z",
      "expirationTime": "2034-11-11T22:44:56.458Z"
    }
  ],
  "serverCerts": [
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_ONE",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_ONE",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-16T18:11:39Z",
    "expirationTime": "2025-09-16T18:11:38Z"
  },
  {
    "kind": "sql#sslCert",
    "certSerialNumber": "CERT_SERIAL_NUMBER_SERVER_CERT_TWO",
    "cert": "CERT_VALUE"
    "commonName": "SUBJECT_VALUE",
    "sha1Fingerprint": "sha1Fingerprint_SERVER_CERT_TWO",
    "instance": "INSTANCE_NAME",
    "createTime": "2024-09-10T20:56:06Z",
    "expirationTime": "2025-09-10T20:56:05Z"
  }
],
  "activeVersion": "sha1Fingerprint_SERVER_CERT_TWO",
  "kind": "sql#instancesListServerCertificates"
}

롤백하려는 버전의 sha1Fingerprint 필드를 복사합니다.

activeVersion으로 표시되는 sha1Fingerprint 값이 포함된 버전의 바로 이전 버전(createTime 값 포함)을 찾습니다.

순환을 롤백합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID
INSTANCE_ID: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate

JSON 요청 본문:

{
  "rotateServerCertificateContext": {"nextVersion": "sha1Fingerprint"}
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/rotateServerCertificate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

CA 인증서 콘텐츠 보기

openssl storeutl 유틸리티를 사용하여 CA 인증서 콘텐츠를 볼 수 있습니다.

sql ssl server-certs list 명령어를 실행하면 신뢰 체인으로 인해 항상 CA 인증서 여러 개가 반환됩니다. 이전 순환 관련 작업에서 CA 인증서 여러 개가 반환될 수도 있습니다.

gcloud

다음 명령어를 실행합니다.

gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(cert)' > temp_cert.pem

INSTANCE_NAME을 인스턴스 이름으로 바꿉니다.

openssl을 사용하여 CA 인증서 콘텐츠를 검사합니다.

openssl storeutl -noout -text temp_cert.pem

서버 인증서 콘텐츠 보기

openssl 유틸리티와 sql ssl server-certs list 명령어를 사용하여 서버 인증서 콘텐츠를 볼 수 있습니다.

gcloud CLI 명령어를 실행하면 신뢰 체인으로 인해 항상 CA 인증서 여러 개가 반환됩니다. 이전 순환 관련 작업에서 CA 인증서 여러 개가 반환될 수도 있습니다.

gcloud

openssl s_client만 사용:

openssl s_client -starttls postgres -connect INSTANCE_IP_ADDRESS:5432

INSTANCE_IP_ADDRESS를 인스턴스 IP 주소로 바꿉니다.

gcloud CLI 및 openssl storeutl 사용:

다음 명령어를 실행합니다.

gcloud sql ssl server-certs list \
  --instance=INSTANCE_NAME \
  --format='value(ssl_cert.cert)' > temp_cert.pem

INSTANCE_NAME을 인스턴스 이름으로 바꿉니다.

openssl을 사용하여 서버 인증서 콘텐츠를 검사합니다.

openssl storeutl -noout -text temp_cert.pem

공유 CA의 루트 및 리전 CA 인증서 번들 다운로드

Google 관리 공유 CA 구성을 사용하는 경우 다음 표에서 루트 및 리전 CA 인증서 번들을 다운로드할 수 있습니다.

인스턴스별 또는 고객 관리 CA 옵션을 사용하는 인스턴스에는 이러한 인증서 번들이 적용되지 않습니다.

	리전 이름	위치	인증서 번들
글로벌
	모든 리전의 CA	모든 위치	`global.pem`
아시아
	`asia-east1`	타이완	`asia-east1.pem`
	`asia-east2`	홍콩	`asia-east2.pem`
	`asia-northeast1`	도쿄	`asia-northeast1.pem`
	`asia-northeast2`	오사카	`asia-northeast2.pem`
	`asia-northeast3`	서울	`asia-northeast3.pem`
	`asia-south1`	뭄바이	`asia-south1.pem`
	`asia-south2`	델리	`asia-south2.pem`
	`asia-southeast1`	싱가포르	`asia-southeast1.pem`
	`asia-southeast2`	자카르타	`asia-southeast2.pem`
아프리카
	`africa-south1`	요하네스버그	`africa-south1.pem`
오스트레일리아
	`australia-southeast1`	시드니	`australia-southeast1.pem`
	`australia-southeast2`	멜버른	`australia-southeast2.pem`
유럽
	`europe-central2`	바르샤바	`europe-central2.pem`
	`europe-north1`	핀란드	`europe-north1.pem`
	`europe-north2`	스톡홀름	`europe-north2.pem`
	`europe-southwest1`	마드리드	`europe-southwest1.pem`
	`europe-west1`	벨기에	`europe-west1.pem`
	`europe-west2`	런던	`europe-west2.pem`
	`europe-west3`	프랑크푸르트	`europe-west3.pem`
	`europe-west4`	네덜란드	`europe-west4.pem`
	`europe-west6`	취리히	`europe-west6.pem`
	`europe-west8`	밀라노	`europe-west8.pem`
	`europe-west9`	파리	`europe-west9.pem`
	`europe-west10`	베를린	`europe-west10.pem`
	`europe-west12`	토리노	`europe-west12.pem`
중동
	`me-central1`	도하	`me-central1.pem`
	`me-central2`	Dammam	`me-central2.pem`
	`me-west1`	텔아비브	`me-west1.pem`
북미
	`northamerica-northeast1`	몬트리올	`northamerica-northeast1.pem`
	`northamerica-northeast2`	토론토	`northamerica-northeast2.pem`
	`northamerica-south1`	멕시코	`northamerica-south1.pem`
	`us-central1`	아이오와	`us-central1.pem`
	`us-east1`	사우스캐롤라이나	`us-east1.pem`
	`us-east4`	북버지니아	`us-east4.pem`
	`us-east5`	콜럼버스	`us-east5.pem`
	`us-south1`	Dallas	`us-south1.pem`
	`us-west1`	오리건	`us-west1.pem`
	`us-west2`	로스앤젤레스	`us-west2.pem`
	`us-west3`	솔트레이크시티	`us-west3.pem`
	`us-west4`	라스베이거스	`us-west4.pem`
남미
	`southamerica-east1`	상파울루	`southamerica-east1.pem`
	`southamerica-west1`	산티아고	`southamerica-west1.pem`

SSL/TLS 구성 재설정

SSL/TLS 구성을 완전히 재설정할 수 있습니다.

Console

Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

Cloud SQL 인스턴스로 이동
인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
SQL 탐색 메뉴에서 연결을 선택합니다.
SSL 구성 재설정 섹션으로 이동합니다.
SSL 구성 재설정을 클릭합니다.

gcloud

인증서를 새로 고칩니다.

gcloud sql instances reset-ssl-config INSTANCE_NAME

새 클라이언트 인증서를 만듭니다.

REST v1beta4

인증서를 새로 고칩니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

project-id: 프로젝트 ID
instance-id: 인스턴스 ID

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig"

PowerShell(Windows)

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/resetSslConfig" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

응답

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2020-01-20T21:30:35.667Z",
  "operationType": "UPDATE",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

새 클라이언트 인증서를 만듭니다.

다음 단계

Cloud SQL의 SSL/TLS 자세히 알아보기
Cloud SQL 인스턴스에서 SSL/TLS 구성
Cloud SQL 인스턴스에 SSL/TLS를 사용하여 연결
PostgreSQL의 SSL/TLS 사용 방법 자세히 알아보기
전 세계 위치에서 사용할 수 있는Google Cloud 서비스 모두 보기

SSL/TLS 인증서 관리 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

클라이언트 인증서 관리

클라이언트 인증서 검색

콘솔

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

클라이언트 인증서 삭제

Console

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

서버 CA 인증서 관리(인스턴스별 CA)

서버 CA 인증서 순환

콘솔

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

인증서 순환 작업 롤백

콘솔

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

순환 시작

콘솔

gcloud

REST v1

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

응답

REST v1beta4

cURL(Linux, macOS, Cloud Shell)

SSL/TLS 인증서 관리