SSL/TLS adalah protokol kriptografi yang paling banyak digunakan di internet. Secara teknis, TLS adalah penerus SSL, meskipun istilah tersebut terkadang digunakan secara bergantian, seperti dalam dokumen ini.
Transport Layer Security (TLS) digunakan untuk mengenkripsi informasi saat dikirim melalui jaringan, sehingga memberikan privasi antara klien dan server atau load balancer. Load Balancer Aplikasi atau Load Balancer Jaringan proxy yang menggunakan SSL memerlukan setidaknya satu kunci pribadi dan sertifikat SSL.
Metode konfigurasi sertifikat
Google Cloud menawarkan tiga metode konfigurasi sertifikat untuk Application Load Balancer yang menggunakan proxy HTTPS target dan proxy Network Load Balancer yang menggunakan proxy SSL target.
Proxy target mereferensikan sertifikat SSL Compute Engine: dengan metode ini, proxy target load balancer dapat mereferensikan hingga 15 resource sertifikat SSL Compute Engine. Setiap resource sertifikat SSL Compute Engine berisi kunci pribadi, sertifikat yang sesuai, dan—secara opsional—sertifikat CA.
Proxy target mereferensikan peta sertifikat Pengelola Sertifikat: dengan metode ini, proxy target load balancer mereferensikan satu peta sertifikat. Peta sertifikat mendukung ribuan entri secara default, dan dapat diskalakan hingga jutaan entri. Setiap entri berisi kunci pribadi dan data sertifikat.
Proxy target mereferensikan sertifikat Pengelola Sertifikat secara langsung: dengan metode ini, proxy target load balancer dapat mereferensikan maksimal 100 sertifikat Pengelola Sertifikat.
Dukungan load balancer
Tabel berikut menunjukkan metode konfigurasi sertifikat yang didukung setiap load balancer.
| Load balancer | Metode konfigurasi sertifikat: Referensi proxy target... | |||
|---|---|---|---|---|
| Sertifikat SSL Compute Engine | Peta sertifikat Certificate Manager | Sertifikat Certificate Manager secara langsung | ||
| Application Load Balancer (proxy HTTPS target) | ||||
| Load Balancer Aplikasi eksternal global | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi Klasik | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi eksternal regional | Mendukung
sertifikat
regional Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi internal regional | Mendukung
sertifikat
regional Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi internal lintas region |
Dikelola sendiri Dikelola Google |
|||
| Load Balancer Jaringan Proxy (proxy SSL target) | ||||
| Load Balancer Jaringan proxy eksternal global | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Jaringan proxy klasik | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
Aturan metode konfigurasi
Google Cloud menerapkan aturan metode konfigurasi sertifikat berikut:
Untuk load balancer yang mendukung sertifikat SSL Compute Engine dan peta sertifikat Pengelola Sertifikat: proxy target load balancer dapat mereferensikan peta sertifikat dan satu atau beberapa sertifikat SSL Compute Engine secara bersamaan; Namun, dalam kasus tersebut, semua sertifikat SSL Compute Engine akan diabaikan, dan hanya sertifikat dari peta sertifikat yang akan digunakan oleh load balancer.
Untuk load balancer yang mendukung sertifikat SSL Compute Engine dan sertifikat Pengelola Sertifikat yang terpasang langsung: proxy target load balancer hanya dapat dikonfigurasi untuk mereferensikan hingga 15 sertifikat SSL Compute Engine atau hingga 100 sertifikat Pengelola Sertifikat, bukan kombinasi keduanya.
Jenis sertifikat
Google Cloud mendukung sertifikat yang dikelola sendiri dan dikelola Google.
Sertifikat SSL yang dikelola sendiri
Sertifikat SSL yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri. Sertifikat yang dikelola sendiri dapat berupa salah satu jenis Sertifikat kunci publik berikut:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Sertifikat Validasi yang Diperluas (EV)
Anda dapat membuat sertifikat SSL yang dikelola sendiri menggunakan:
Resource sertifikat SSL Compute Engine: untuk informasi selengkapnya, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
Pengelola Sertifikat: untuk informasi selengkapnya, lihat:
Sertifikat SSL yang dikelola Google
Sertifikat SSL yang dikelola Google adalah sertifikat yang Google Cloud diperoleh, dikelola, dan diperpanjang secara otomatis. Sertifikat yang dikelola Google selalu merupakan sertifikat Validasi Domain (DV). Sertifikat tersebut tidak menunjukkan identitas organisasi atau individu yang terkait dengan sertifikat.
Sertifikat yang dikelola Google menggunakan karakter pengganti hanya didukung oleh Pengelola Sertifikat saat menggunakan otorisasi DNS.
Anda dapat membuat sertifikat SSL yang dikelola Google menggunakan:
- Resource sertifikat SSL Compute Engine: hanya resource
sslCertificatesCompute Engine global yang mendukung sertifikat SSL yang dikelola Google;regionSslCertificatestidak mendukungnya. Untuk informasi selengkapnya, lihat Menggunakan sertifikat SSL yang dikelola Google. - Certificate Manager: untuk informasi selengkapnya, lihat Ringkasan deployment.
Beberapa sertifikat SSL
Load Balancer Aplikasi atau Load Balancer Jaringan proxy dapat menghosting dua sertifikat SSL atau lebih secara bersamaan saat proxy targetnya dikonfigurasi menggunakan metode konfigurasi sertifikat yang didukung. Sebagai praktik terbaik, gunakan Pengelola Sertifikat jika diperlukan beberapa sertifikat SSL.
Untuk load balancer yang mendukung sertifikat SSL Compute Engine: Proxy target load balancer dapat mereferensikan hingga 15 sertifikat SSL Compute Engine. Resource sertifikat SSL Compute Engine pertama yang direferensikan adalah sertifikat default (primer) untuk proxy target.
Untuk load balancer yang mendukung peta sertifikat Pengelola Sertifikat: proxy target load balancer mereferensikan satu peta sertifikat. Peta sertifikat mendukung ribuan entri peta sertifikat. Anda dapat mengonfigurasi entri sertifikat mana yang merupakan sertifikat default (utama) untuk peta sertifikat.
Untuk load balancer yang mendukung referensi langsung sertifikat Certificate Manager: proxy target load balancer dapat mereferensikan hingga 100 sertifikat Certificate Manager. Resource sertifikat SSL Certificate Manager pertama yang dirujuk adalah sertifikat default (utama) untuk proxy target.
Untuk informasi selengkapnya, lihat:
Proxy target dan sertifikat SSL dalam dokumentasi load balancing.
Kuota dan batas resource dalam dokumentasi Certificate Manager.
Proses pemilihan sertifikat
Proses pemilihan sertifikat berikut berlaku untuk load balancer yang proxy targetnya mereferensikan beberapa sertifikat SSL Compute Engine atau beberapa sertifikat Pengelola Sertifikat.
Proses pemilihan sertifikat berbeda jika proxy target load balancer mereferensikan peta sertifikat Pengelola Sertifikat. Untuk mengetahui detail tentang proses pemilihan sertifikat peta sertifikat, lihat Logika pemilihan sertifikat dalam dokumentasi Pengelola Sertifikat.
Setelah klien terhubung ke load balancer, klien dan load balancer akan menegosiasikan sesi TLS. Selama negosiasi sesi TLS, klien mengirimkan
daftar cipher TLS yang didukungnya (di ClientHello) ke load balancer. Load
balancer memilih sertifikat yang algoritma kunci publiknya kompatibel dengan
klien. Klien juga dapat mengirim nama host server name indication (SNI) ke load balancer sebagai bagian dari negosiasi ini. Data nama host SNI terkadang digunakan untuk membantu load balancer memilih sertifikat yang akan dikirim ke klien.
Jika proxy target load balancer hanya mereferensikan satu sertifikat, sertifikat tersebut akan digunakan, dan nilai nama host SNI yang dikirim oleh klien tidak relevan.
Jika proxy target load balancer mereferensikan dua sertifikat atau lebih, load balancer akan menggunakan proses berikut untuk memilih satu sertifikat:
Jika klien tidak mengirim nama host SNI apa pun di
ClientHello-nya, load balancer akan menggunakan sertifikat pertama dalam daftar sertifikatnya.Jika klien mengirim nama host SNI yang tidak cocok dengan nama umum (CN) sertifikat apa pun dan tidak cocok dengan nama alternatif subjek (SAN) sertifikat apa pun, load balancer akan menggunakan sertifikat pertama dalam daftar sertifikatnya.
Dalam situasi lainnya: Load balancer memilih sertifikat menggunakan proses pencocokan berikut:
Pencocokan dilakukan dengan akhiran terpanjang terhadap atribut sertifikat nama umum (CN) dan nama alternatif subjek (SAN), dengan preferensi untuk sertifikat ECDSA daripada sertifikat RSA.
Untuk mengilustrasikan metode pencocokan, pertimbangkan proxy target yang mereferensikan dua sertifikat berikut:
Sertifikat A
- CN:
cats.pets.example.com - SAN:
cats.pets.example.com,*.pets.example.com,*.example.com
- CN:
Sertifikat B
- CN:
dogs.pets.example.com - SAN:
dogs.pets.example.com,*.pets.example.com,*.example.com
- CN:
Sekarang pertimbangkan skenario berikut:
- Jika nama host SNI yang dikirim oleh klien adalah
cats.pets.example.com, load balancer akan menggunakan Sertifikat A. - Jika nama host SNI yang dikirim oleh klien adalah
ferrets.pets.example.com, tidak ada kecocokan persis, sehingga load balancer memilih salah satu Sertifikat A atau Sertifikat B karena keduanya menyertakan*.pets.example.comdalam daftar SAN. Anda tidak dapat mengontrol sertifikat mana yang dipilih dalam situasi ini.
- Jika nama host SNI yang dikirim oleh klien adalah
Setelah sertifikat dipilih, load balancer akan mengirimkan sertifikat tersebut kepada klien hanya jika sertifikat yang dipilih menggunakan algoritma kunci publik yang kompatibel dengan cipher yang dikirim oleh klien di
ClientHello. Negosiasi TLS gagal jika klien tidak mendukung cipher suite yang menyertakan algoritma kunci publik (ECDSA atau RSA) dari sertifikat yang dipilih load balancer.
Harga
Anda dikenai biaya jaringan saat menggunakan load balancer Google Cloud . Untuk informasi selengkapnya, lihat Semua harga jaringan. Untuk harga Certificate Manager, lihat Harga dalam dokumentasi Certificate Manager. Tidak ada biaya tambahan untuk menggunakan resource sertifikat SSL Compute Engine.
Langkah berikutnya
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis