La seguridad de la capa de transporte (TLS) se usa para encriptar información mientras se envía a través de una red, lo que proporciona privacidad entre un cliente y un servidor o un balanceador de cargas. Los balanceadores de cargas del proxy de Google Cloud cuyas reglas de reenvío hacen referencia a un proxy HTTPS o SSL de destino requieren una clave privada y un certificado SSL como parte de la configuración del proxy de destino del balanceador de cargas.
Métodos de configuración de certificados
Google Cloud ofrece dos métodos que permiten configurar certificados SSL para los balanceadores de cargas HTTP(S) y de proxy SSL. Ambos métodos admiten certificados SSL autoadministrados y administrados por Google.
Recurso de certificado SSL de Compute Engine: con este método, el proxy de destino para un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico, un balanceador de cargas de red del proxy externo, un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno está configurado para hacer referencia a un recurso de certificado SSL de Compute Engine. El recurso de certificado SSL contiene la clave privada, el certificado correspondiente y, de forma opcional, los certificados de la AC. Este método es compatible con todos los niveles de servicio de red que admite el balanceador de cargas.
Administrador de certificados: Con este método, el proxy de destino para un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico o un balanceador de cargas de red del proxy externo se configura para hacer referencia a un Mapa de certificados. El mapa de certificados contiene una o más entradas de certificado. Cada entrada de certificado hace referencia a un solo recurso de certificado del administrador de certificados, y cada recurso de certificado contiene una clave privada y un certificado. Con el Administrador de certificados, un proxy HTTPS o SSL de destino pueden hacer referencia a un mapa de certificados con miles de entradas de certificados SSL. Este método solo está disponible cuando el balanceador de cargas usa el nivel de servicio de red Premium.
Para los balanceadores de cargas de aplicaciones internos entre regiones, los balanceadores de cargas de aplicaciones internos regionales y los balanceadores de cargas de aplicaciones externos regionales, los certificados del Administrador de certificados están conectados al proxy de destino. No se admiten mapas de certificados.
Para obtener más información, consulta la siguiente documentación:
Tipos de certificados
Puedes crear tus propios certificados o Google puede administrarlos por ti:
Los certificados SSL autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo. Los certificados autoadministrados pueden ser de cualquiera de estos tipos de certificado de clave pública:
- Validación de dominio (DV)
- Validación de organización (OV)
- Validación extendida (EV)
Para obtener más información sobre los certificados SSL autoadministrador de Compute Engine, consulta Usa certificados SSL autoadministrados.
Para obtener más información sobre los certificados SSL autoadministrados y el Administrador de certificados, consulta Sube un certificado autoadministrado en la documentación del Administrador de certificados o Implementa un certificado autoadministrado para revisar un instructivo de extremo a extremo.
Los certificados SSL administrados por Google son certificados que Google Cloud obtiene, administra y renueva de manera automática. Los certificados administrados por Google son siempre certificados de validación de dominio (DV). No demuestran la identidad de una organización o de un individuo asociados con el certificado, y no admiten nombres comunes comodín.
Para obtener más información sobre los certificados SSL de Compute Engine administrados por Google, consulta Usa certificados SSL administrados por Google.
El Administrador de certificados admite certificados SSL administrados por Google mediante la autorización del balanceador de cargas, la autorización de DNS y la integración en un Certificate Authority Service. Para obtener más información sobre el Administrador de certificados SSL administrados por Google, consulta Descripción general de la implementación en la documentación del Administrador de certificados.
Certificados y balanceadores de cargas de Google Cloud
En las siguientes secciones, se describe cómo cada balanceador de cargas de aplicaciones admite los diferentes métodos de configuración de certificados.
Certificados SSL de Compute Engine
En la siguiente tabla, se muestra qué balanceadores de cargas de Google Cloud admiten certificados SSL autoadministrados de Compute Engine, certificados SSL de Compute Engine administrados por Google o ambos:
Compatibilidad con el certificado SSL de Compute Engine | ||
---|---|---|
Balanceador de cargas | Administración automática | Administrada por Google |
Balanceador de cargas de aplicaciones externo global * | sslCertificates |
sslCertificates |
Balanceador de cargas de aplicaciones clásico * | sslCertificates |
sslCertificates |
Balanceador de cargas de aplicaciones externo regional † | regionSslCertificates |
|
Balanceador de cargas de aplicaciones interno regional † | regionSslCertificates |
|
Balanceador de cargas de aplicaciones interno entre regiones * | ||
Balanceador de cargas de red del proxy externo (con proxy SSL) ‡ | sslCertificates |
sslCertificates |
* El balanceador de cargas de aplicaciones externo global, el balanceador de cargas de aplicaciones interno entre regiones y el balanceador de cargas de aplicaciones clásico usan proxies HTTPS de destino global, incluso cuando un balanceador de cargas de aplicaciones clásico usa el nivel Estándar.
† El balanceador de cargas de aplicaciones externo regional y el balanceador de cargas de aplicaciones interno usan proxies HTTPS de destino regionales.
‡ El balanceador de cargas de red del proxy externo usa proxies SSL de destino global, incluso en el nivel Estándar.
Certificados SSL del Administrador de certificados
En la siguiente tabla, se muestra qué balanceadores de cargas de Google Cloud admiten certificados autoadministrados o administrados por Google, o ambos del Administrador de certificados.
Balanceador de cargas | Certificado administrado por Google | Certificado autoadministrado | ||
---|---|---|---|---|
Autorización de DNS | Autorización del balanceador de cargas | Certificate Authority Service (Servicio de CA) | ||
Balanceador de cargas de aplicaciones externo global | info |
info |
info |
info |
Balanceador de cargas de aplicaciones clásico | info |
info |
info |
info |
Balanceador de cargas de red del proxy externo global | info |
info |
info |
info |
Balanceador de cargas de aplicaciones interno entre regiones | info |
info |
info |
|
Balanceador de cargas de aplicaciones externo regional | info |
info |
info |
|
Balanceador de cargas de aplicaciones interno regional | info |
info |
info |
Múltiples certificados SSL
Puedes usar el mismo proxy HTTPS de destino o proxy SSL de destino para alojar varios certificados, lo que es común cuando el balanceador de cargas admite varios nombres de dominio. Puedes configurar una sola regla de reenvío (una sola dirección IP y un solo puerto) para hacer referencia a un proxy de destino común, o puedes configurar varias reglas de reenvío (diferentes direcciones IP y puertos) para hacer referencia a un proxy de destino común.
Varios recursos de certificados SSL de Compute Engine
Cuando usas los recursos de certificado SSL de Compute Engine, cada recurso de proxy de destino puede hacer referencia hasta a una cantidad máxima de certificados SSL por cada configuración HTTPS o proxy SSL de destino. Para obtener más información, consulta Grupos de destino y proxies de destino en la documentación de límites y cuotas del balanceo de cargas.
El primer recurso de certificado SSL de Compute Engine al que hace referencia el proxy de destino de un balanceador de cargas se considera el certificado predeterminado (principal) para el balanceador de cargas.
Varios certificados SSL con el Administrador de certificados
Cuando se usa el Administrador de certificados con un mapa de certificados en un balanceador de cargas, cada recurso de proxy de destino hace referencia a un solo mapa de certificados. Un mapa de certificados hace referencia a una o más entradas de certificado, y puedes configurar la entrada de certificado que será el certificado predeterminado (principal) del mapa. La cantidad de mapas, entradas y certificados del Administrador de certificados son cuotas configurables por proyecto. Para obtener más información, consulta Cuotas de recursos en la documentación del Administrador de certificados.
Si usas un balanceador de cargas que admite el administrador de certificados y necesitas alojar más de unos pocos certificados SSL por proxy de destino, asegúrate de usar el administrador de certificados en lugar de los recursos de certificado SSL de Compute Engine.
Método de selección de certificado
Después de que un cliente se conecta a un balanceador de cargas HTTP(S) o de proxy SSL, el cliente y el balanceador de cargas negocian una sesión de TLS. Durante la negociación de sesión de TLS, el cliente envía al balanceador de cargas una lista de algoritmos de cifrado de TLS que admite (en ClientHello
). El balanceador de cargas selecciona un certificado cuyo algoritmo de clave pública sea compatible con el cliente. El cliente también puede enviar un nombre de host de indicación del nombre del servidor (SNI) al balanceador de cargas como parte de esta negociación. Los datos de nombre de host de SNI a veces se usan para ayudar al balanceador de cargas a elegir qué certificado debe enviar al cliente.
Puedes modelar el proceso que usan los balanceadores de cargas de proxy de Google Cloud para seleccionar un certificado y enviarlo a un cliente de la siguiente manera. En tu modelo, comienza con todos los certificados SSL que se configuraron en el proxy HTTPS o SSL de destino, sin importar el método de configuración.
El balanceador de cargas selecciona un solo candidato de certificado:
Si el proxy de destino del balanceador de cargas hace referencia solo a un recurso de certificado SSL de Compute Engine o a un mapa del administrador de certificados con una sola entrada de certificado, usa ese único certificado configurado como candidato. El valor del nombre de host de SNI (si se proporciona) no influye en el balanceador de cargas. Continúa con el paso 2.
Si el proxy de destino del balanceador de cargas hace referencia a dos o más recursos de certificado SSL de Compute Engine o a un mapa del administrador de certificados con dos o más entradas de certificado, usa el siguiente proceso para seleccionar un único candidato de certificado:
Si el cliente no envía ningún nombre de host de SNI en su
ClientHello
, el balanceador de cargas usa el certificado SSL predeterminado (principal) como candidato de certificado. Continúa con el paso 2.Si el cliente envía un nombre de host de SNI que no coincide con ningún nombre común de certificado (CN) y no coincide con ningún nombre de sujeto alternativo de certificado (SAN), el balanceador de cargas usa el certificado SSL predeterminado (principal) como el candidato de certificado. Continúa con el paso 2.
El balanceador de cargas selecciona un candidato de certificado que coincida con el nombre de host de SNI que envió el cliente. La coincidencia se aplica mediante el prefijo más largo en relación con los atributos de nombre común (CN) y de nombre de sujeto alternativo (SAN), con preferencia para los certificados de ECDSA en lugar de los RSA. Para ilustrar el método de coincidencia, considera un proxy de destino que haga referencia a un certificado cuyo CN sea
cats.pets.example.com
y otro con un CN que seadogs.pets.example.com
. Además de incluir cada valor de CN en sus SAN, cada certificado incluye*.pets.example.com
y*.example.com
en estos.- Si el nombre de host de SNI proporcionado es
cats.pets.example.com
, el balanceador de cargas usa el certificado cuyo CN escats.pets.example.com
como candidato del certificado. Continúa con el paso 2. - Si el nombre de host de SNI proporcionado es
ferrets.pets.example.com
, el balanceador de cargas usa uno de los dos certificados como candidato, ya que ambos certificados configurados tienen SAN que incluyen*.pets.example.com
. No puedes controlar cuál de los dos certificados se convierte en el candidato de certificado en esta situación. Continúa con el paso 2.
- Si el nombre de host de SNI proporcionado es
El candidato se envía al cliente si usa un algoritmo de clave pública compatible con uno de los algoritmos de cifrado declarados en el cliente.
- La negociación de TLS puede fallar si el cliente no admite un conjunto de algoritmos de cifrado que incluya el algoritmo de clave pública (ECDSA o RSA) del certificado.
- El balanceador de cargas no usa los atributos
notValidBefore
ynotValidAfter
del certificado como parte del método de selección de candidatos. Por ejemplo, el balanceador de cargas puede entregar un certificado vencido si se seleccionó el certificado vencido como candidato.
Precios
Generas cargos por las herramientas de redes cuando usas balanceadores de cargas de Google Cloud. Para obtener más información, consulta Todos los precios de herramientas de redes. Para obtener más información sobre los precios del administrador de certificados, consulta Precios en la documentación del administrador de certificados. No se aplican cargos adicionales por usar recursos de certificados SSL de Compute Engine.
¿Qué sigue?
Si quieres obtener más información sobre los certificados SSL de Compute Engine, consulta las siguientes páginas:
- Para obtener más información sobre los certificados SSL autoadministrador de Compute Engine, consulta Usa certificados SSL autoadministrados.
- Para obtener más información sobre los certificados SSL de Compute Engine administrados por Google, consulta Usa certificados SSL administrados por Google.
- Para obtener más información sobre las cuotas y los límites (incluidas las longitudes de clave admitidas) de los certificados SSL de Compute Engine, consulta los siguientes vínculos:Certificados SSL y Grupos y proxies de destino en la documentación del balanceador de cargas.
Para obtener más información sobre el Administrador de certificados, consulta las siguientes páginas:
- Descripción general del Administrador de certificados
- Para obtener más información sobre los certificados SSL autoadministrados y el Administrador de certificados, consulta Sube un certificado autoadministrado en la documentación del Administrador de certificados o Implementa un certificado autoadministrado para revisar un instructivo de extremo a extremo.
- Para obtener más información sobre el Administrador certificados SSL administrados por Google, consulta Administra certificados en la documentación del Administrador de certificados.
- Para obtener más información sobre las cuotas y los límites del Administrador de certificados, consulta Cuotas de recursos en la documentación del Administrador de certificados.
Si deseas obtener detalles sobre cómo configurar los certificados SSL para los balanceadores de cargas de proxy administrados por GKE, consulta Ingress de GKE para el balanceo de cargas de HTTP(S), la documentación de la API de puerta de enlace de GKE y Balanceo de cargas nativo de contenedores mediante NEG zonales independientes.
Para obtener detalles sobre los balanceadores de cargas y la encriptación en tránsito, consulta Encriptación en los backends y el informe Encriptación en tránsito en Google Cloud.
Pruébalo tú mismo
Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Comenzar gratis