如果我使用SSL连接到Google Cloud SQL第二代MySQL服务器,则证书是自签名的, 证书只显示持续1年 。 在一年之前,我可以使用gcloud sql instances reset-ssl-config [INSTANCE_NAME]刷新证书。 此时会生成一个新的证书,并立即在MySQL服务器上投入使用。
不幸的是,这将导致停机,因为我将会部署多个不同的MySQL客户端,其中--ssl-caconfiguration只要生成新的服务器证书就必须更改。 此外,该文件表明,所有的客户证书也被同时吊销!
当服务器证书刷新时,有什么办法可以避免Google云端SQL MySQL的客户端宕机? 例如,是否可以生成新的服务器证书而不立即启用它,以便可以更新客户端的 – --ssl-ca ,然后在客户端准备好之后开始使用新的证书?
为了便于比较,如RDS团队的信函中所述 ,Amazon RDS不使用MySQL服务器的自签名证书。 相反,它使用证书(具有通过--ssl-verify-server-cert的主机名)和证书持续5年的证书颁发机构。 在CA证书过期之前,Amazon会发布包含旧CA证书和新CA证书(因为mysql客户端的--ssl-ca文件可以包含多个可信CA证书)的证书颁发机构文件。 一旦所有客户信任新的CA证书并准备就绪,您就可以将RDS MySQL服务器的证书从旧CA签名的证书交换到证书,而无需停机。
Cloud SQL服务没有方法让客户端当前没有停机时间升级证书。 我已经记下了这个消息, 并向Google的公共问题跟踪器发送了一个function请求,以便将来在Cloud SQL中实现此function。
没有办法预取将用于更新证书的CA数据,以便客户端可以事先准备好。