Transport Layer Security (TLS) digunakan untuk mengenkripsi informasi saat dikirim melalui jaringan, sehingga memberikan privasi antara klien dan server atau load balancer. Load balancer proxy Google Cloud yang aturan penerusannya mereferensikan proxy HTTPS target atau proxy SSL target memerlukan kunci pribadi dan sertifikat SSL sebagai bagian dari konfigurasi proxy target load balancer.
Metode konfigurasi sertifikat
Google Cloud menawarkan dua metode guna mengonfigurasi sertifikat SSL untuk load balancer proxy HTTP(S) dan SSL. Kedua metode tersebut mendukung sertifikat SSL yang dikelola sendiri dan dikelola Google.
Resource sertifikat SSL Compute Engine: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal, Load Balancer Aplikasi eksternal regional, atau Load Balancer Aplikasi internal dikonfigurasi untuk mereferensikan resource sertifikat SSL Compute Engine. Resource sertifikat SSL berisi kunci pribadi, sertifikat yang sesuai, dan —secara opsional—sertifikat CA. Metode ini mendukung semua Tingkat Layanan Jaringan yang didukung oleh load balancer.
Pengelola Sertifikat: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, atau Load Balancer Jaringan proxy eksternal dikonfigurasi untuk mereferensikan peta sertifikat. Peta sertifikat berisi satu atau beberapa entri sertifikat. Setiap entri sertifikat mereferensikan satu resource sertifikat Pengelola Sertifikat, dan setiap resource sertifikat berisi kunci pribadi dan sertifikat. Dengan Certificate Manager, proxy HTTPS target atau proxy SSL target dapat mereferensikan peta sertifikat dengan ribuan entri sertifikat SSL. Metode ini hanya tersedia saat load balancer menggunakan Tingkat Layanan Jaringan Premium.
Untuk Load Balancer Aplikasi internal lintas region, Load Balancer Aplikasi internal regional, dan Load Balancer Aplikasi eksternal regional, sertifikat Pengelola Sertifikat dilampirkan ke proxy target. Peta sertifikat tidak didukung.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Jenis sertifikat
Anda dapat membuat sertifikat Anda sendiri atau Google dapat mengelolanya untuk Anda:
Sertifikat SSL yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri. Sertifikat yang dikelola sendiri dapat berupa salah satu jenis Public key certificate berikut:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Sertifikat Extended Validation (EV)
Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola sendiri, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
Untuk informasi selengkapnya tentang sertifikat SSL dan Certificate Manager yang dikelola sendiri, lihat Mengupload sertifikat yang dikelola sendiri dalam dokumentasi Certificate Manager atau Men-deploy sertifikat yang dikelola sendiri untuk tutorial end-to-end.
Sertifikat SSL yang dikelola Google adalah sertifikat yang diperoleh, dikelola, dan diperpanjang secara otomatis oleh Google Cloud. Sertifikat yang dikelola Google selalu menjadi sertifikat Validasi Domain (DV). Fungsi ini tidak menunjukkan identitas organisasi atau individu yang terkait dengan sertifikat, dan tidak mendukung nama umum karakter pengganti.
Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola Google, lihat Menggunakan sertifikat SSL yang dikelola Google.
Certificate Manager mendukung sertifikat SSL yang dikelola Google menggunakan otorisasi load-balancer, otorisasi DNS, dan integrasi dengan Certificate Authority Service. Untuk informasi selengkapnya tentang Certificate Manager sertifikat SSL yang dikelola Google, lihat Ringkasan deployment dalam dokumentasi Certificate Manager.
Load balancer Sertifikat dan Google Cloud
Bagian berikut menjelaskan cara setiap Load Balancer Aplikasi mendukung berbagai metode konfigurasi sertifikat.
Sertifikat SSL Compute Engine
Tabel berikut menunjukkan load balancer Google Cloud mana yang mendukung sertifikat SSL Compute Engine yang dikelola sendiri atau sertifikat SSL Compute Engine yang dikelola Google, atau keduanya:
Dukungan sertifikat SSL Compute Engine | ||
---|---|---|
Load balancer | Dikelola sendiri | Dikelola Google |
Load Balancer Aplikasi eksternal global * | sslCertificates |
sslCertificates |
Load Balancer Aplikasi Klasik * | sslCertificates |
sslCertificates |
Load Balancer Aplikasi eksternal regional † | regionSslCertificates |
|
Load Balancer Aplikasi internal regional † | regionSslCertificates |
|
Load Balancer Aplikasi internal lintas region * | ||
Load Balancer Jaringan proxy eksternal (dengan proxy SSL) ‡ | sslCertificates |
sslCertificates |
* Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi internal lintas region, dan Load Balancer Aplikasi klasik menggunakan proxy HTTPS target global, meskipun Load Balancer Aplikasi klasik menggunakan tingkat Standar.
† Load Balancer Aplikasi eksternal regional dan Load Balancer Aplikasi internal menggunakan proxy HTTPS target regional.
‡ Load Balancer Jaringan proxy eksternal menggunakan proxy SSL target global, bahkan dalam tingkat Standar.
Sertifikat SSL Pengelola Sertifikat
Tabel berikut menunjukkan load balancer Google Cloud mana yang mendukung sertifikat yang dikelola sendiri atau dikelola Google, atau keduanya.
Load balancer | Sertifikat yang dikelola Google | Sertifikat yang dikelola sendiri | ||
---|---|---|---|---|
Otorisasi DNS | Otorisasi load balancer | Certificate Authority Service (Layanan CA) | ||
Load Balancer Aplikasi eksternal global | info |
info |
info |
info |
Load Balancer Aplikasi Klasik | info |
info |
info |
info |
Load Balancer Jaringan proxy eksternal global | info |
info |
info |
info |
Load Balancer Aplikasi internal lintas region | info |
info |
info |
|
Load Balancer Aplikasi eksternal regional | info |
info |
info |
|
Load Balancer Aplikasi internal regional | info |
info |
info |
Beberapa sertifikat SSL
Anda dapat menggunakan proxy HTTPS target atau proxy SSL target yang sama untuk menghosting beberapa sertifikat—umum jika load balancer mendukung beberapa nama domain. Anda dapat mengonfigurasi satu aturan penerusan (satu alamat dan port IP) untuk mereferensikan proxy target yang sama, atau mengonfigurasi beberapa aturan penerusan (alamat IP dan port yang berbeda) untuk mereferensikan proxy target yang sama.
Beberapa resource sertifikat SSL Compute Engine
Saat menggunakan resource sertifikat SSL Compute Engine, setiap resource proxy target dapat merujuk hingga jumlah maksimum sertifikat SSL per HTTPS target atau proxy SSL target yang tidak dapat dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Kumpulan target dan proxy target dalam dokumentasi kuota dan batas load balancing.
Resource sertifikat SSL Compute Engine pertama yang dirujuk oleh proxy target load balancer dianggap sebagai sertifikat default (utama) untuk load balancer.
Beberapa sertifikat SSL menggunakan Pengelola Sertifikat
Saat menggunakan Certificate Manager dengan peta sertifikat pada load balancer, setiap resource proxy target mereferensikan satu peta sertifikat. Peta sertifikat mereferensikan satu atau beberapa entri sertifikat, dan Anda dapat mengonfigurasi entri sertifikat mana yang merupakan sertifikat default (utama) untuk peta. Jumlah peta, entri, dan sertifikat Certificate Manager dapat dikonfigurasi, untuk kuota per project. Untuk mengetahui informasi selengkapnya, lihat Kuota resource di dokumentasi Certificate Manager.
Jika menggunakan load balancer yang mendukung Pengelola Sertifikat dan Anda perlu menghosting lebih dari beberapa sertifikat SSL per proxy target, pastikan Anda menggunakan Pengelola Sertifikat, bukan resource sertifikat SSL Compute Engine.
Metode pemilihan sertifikat
Setelah klien terhubung ke load balancer proxy HTTP(S) atau SSL, klien
dan load balancer menegosiasikan sesi TLS. Selama negosiasi sesi TLS, klien akan mengirimkan daftar cipher TLS yang didukungnya ke load balancer (dalam
ClientHello
). Load balancer memilih sertifikat yang algoritma kunci publiknya
kompatibel dengan klien. Klien juga dapat mengirim nama host indikasi nama server (SNI) ke load balancer sebagai bagian dari negosiasi ini. Data nama host SNI terkadang digunakan untuk membantu load balancer memilih sertifikat mana yang harus dikirim ke klien.
Anda dapat membuat model proses yang digunakan load balancer proxy Google Cloud untuk memilih sertifikat yang akan dikirim ke klien seperti berikut. Dalam model Anda, mulailah dengan semua sertifikat SSL yang telah dikonfigurasi pada proxy HTTPS target atau proxy SSL target, apa pun metode konfigurasinya.
Load balancer memilih satu kandidat sertifikat:
Jika proxy target load balancer hanya mereferensikan satu resource sertifikat SSL Compute Engine, atau jika proxy target load balancer mereferensikan peta Pengelola Sertifikat hanya dengan satu entri sertifikat, load balancer akan menggunakan satu-satunya sertifikat yang dikonfigurasi sebagai kandidat sertifikat. Nilai nama host SNI (jika ada) tidak memengaruhi load balancer sama sekali. Lanjutkan ke langkah 2.
Jika proxy target load balancer mereferensikan dua atau beberapa resource sertifikat SSL Compute Engine, atau jika proxy target load balancer mereferensikan peta Pengelola Sertifikat dengan dua atau lebih entri sertifikat, load balancer akan menggunakan proses berikut untuk memilih satu satu kandidat sertifikat:
Jika klien tidak mengirim nama host SNI apa pun pada
ClientHello
-nya, load balancer akan menggunakan sertifikat SSL (utama) default sebagai kandidat sertifikat. Lanjutkan ke langkah 2.Jika klien mengirimkan nama host SNI yang tidak cocok dengan nama umum sertifikat (CN) dan tidak cocok dengan nama alternatif subjek sertifikat (SAN) apa pun, load balancer akan menggunakan sertifikat SSL default (utama) sebagai kandidat sertifikat. Lanjutkan ke langkah 2.
Load balancer memilih kandidat sertifikat yang cocok dengan nama host SIP yang dikirim oleh klien. Pencocokan dilakukan dengan awalan terpanjang terhadap atribut sertifikat nama umum (CN) dan nama alternatif subjek (SAN), dengan preferensi untuk sertifikat ECDSA daripada sertifikat RSA. Untuk mengilustrasikan metode pencocokan, pertimbangkan proxy target yang mereferensikan satu sertifikat dengan CN-nya adalah
cats.pets.example.com
dan sertifikat lain yang CN-nya adalahdogs.pets.example.com
. Selain menyertakan setiap nilai CN dalam SAN-nya, setiap sertifikat menyertakan*.pets.example.com
, dan*.example.com
dalam SAN-nya.- Jika nama host SNI yang disediakan adalah
cats.pets.example.com
, load balancer akan menggunakan sertifikat yang CN-nya adalahcats.pets.example.com
sebagai kandidat sertifikat. Lanjutkan ke langkah 2. - Jika nama host SNI yang disediakan adalah
ferrets.pets.example.com
, load balancer akan menggunakan salah satu dari dua sertifikat sebagai kandidat sertifikat karena kedua sertifikat yang dikonfigurasi memiliki SAN yang menyertakan*.pets.example.com
. Dalam situasi ini, Anda tidak dapat mengontrol mana saja dari kedua sertifikat tersebut yang menjadi kandidat sertifikat. Lanjutkan ke langkah 2.
- Jika nama host SNI yang disediakan adalah
Kandidat sertifikat akan dikirim ke klien jika kandidat sertifikat menggunakan algoritma kunci publik yang kompatibel dengan salah satu cipher yang dinyatakan klien.
- Negosiasi TLS bisa gagal jika klien tidak mendukung cipher suite yang menyertakan algoritma kunci publik (ECDSA atau RSA) sertifikat.
- Load balancer tidak menggunakan atribut
notValidBefore
dannotValidAfter
sertifikat sebagai bagian mana pun dari metode pemilihan kandidat. Misalnya, load balancer dapat menayangkan sertifikat yang sudah tidak berlaku jika sertifikat yang habis masa berlakunya dipilih sebagai kandidat sertifikat.
Harga
Anda dikenai biaya jaringan saat menggunakan load balancer Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Semua harga jaringan. Untuk harga Certificate Manager, lihat Harga di dokumentasi Certificate Manager. Tidak ada biaya tambahan untuk penggunaan resource sertifikat SSL Compute Engine.
Langkah selanjutnya
Untuk mengetahui informasi selengkapnya tentang sertifikat SSL Compute Engine, lihat halaman berikut:
- Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola sendiri, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
- Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola Google, lihat Menggunakan sertifikat SSL yang dikelola Google.
- Untuk mempelajari kuota dan batas (termasuk panjang kunci yang didukung) untuk sertifikat SSL Compute Engine, lihat sertifikat SSL serta Kumpulan target dan proxy target dalam dokumentasi load balancer.
Untuk informasi selengkapnya tentang Certificate Manager, lihat halaman berikut:
- Ringkasan Certificate Manager.
- Untuk informasi selengkapnya tentang sertifikat SSL dan Certificate Manager yang dikelola sendiri, lihat Mengupload sertifikat yang dikelola sendiri dalam dokumentasi Certificate Manager atau Men-deploy sertifikat yang dikelola sendiri untuk tutorial end-to-end.
- Untuk informasi selengkapnya tentang sertifikat SSL dan Certificate Manager yang dikelola Google, lihat Mengelola sertifikat dalam dokumentasi Certificate Manager.
- Untuk mempelajari kuota dan batas Certificate Manager, lihat Kuota resource dalam dokumentasi Certificate Manager.
Guna mengetahui detail tentang cara mengonfigurasi sertifikat SSL untuk load balancer proxy yang dikelola oleh GKE, lihat GKE Ingress untuk Load Balancing HTTP(S), dokumentasi GKE Gateway API, dan load balancing berbasis Container melalui NEG zona mandiri.
Untuk mengetahui detail tentang load balancer dan enkripsi dalam pengiriman, lihat Enkripsi ke backend dan laporan resmi Enkripsi dalam Transit di Google Cloud.
Cobalah sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis