Diese Seite wurde von der Cloud Translation API übersetzt.

SSL-Zertifikate

SSL/TLS ist das am häufigsten verwendete kryptografische Protokoll im Internet. Technisch gesehen ist TLS der Nachfolger von SSL, obwohl die Begriffe manchmal synonym verwendet werden, wie in diesem Dokument.

Transport Layer Security (TLS) wird verwendet, um Informationen zu verschlüsseln, während sie über ein Netzwerk gesendet werden. Dadurch wird der Datenschutz zwischen einem Client und einem Server oder Load-Balancer sichergestellt. Für einen Application Load Balancer oder Proxy-Network Load Balancer, der SSL verwendet, sind mindestens ein privater Schlüssel und ein SSL-Zertifikat erforderlich.

Methoden der Zertifikatskonfiguration

Google Cloud bietet drei Zertifikatskonfigurationsmethoden für Application Load Balancer mit Ziel-HTTPS-Proxys und Proxy Network Load Balancer mit Ziel-SSL-Proxys.

Zielproxy verweist auf Compute Engine-SSL-Zertifikate: Bei dieser Methode kann der Zielproxy des Load Balancers auf bis zu 15 Compute Engine-SSL-Zertifikatsressourcen verweisen. Jede Compute Engine-SSL-Zertifikatsressource enthält den privaten Schlüssel, das entsprechende Zertifikat und optional auch CA-Zertifikate.
Zielproxy verweist auf eine Zertifikatszuordnung von Certificate Manager: Bei dieser Methode verweist der Zielproxy des Load Balancers auf eine einzelne Zertifikatszuordnung. Die Zertifikatzuordnung unterstützt standardmäßig Tausende von Einträgen und kann auf Millionen von Einträgen skaliert werden. Jeder Eintrag enthält einen privaten Schlüssel und Zertifikatsdaten.
Zielproxy verweist direkt auf Zertifikate des Zertifikatmanagers: Bei dieser Methode kann der Zielproxy des Load Balancers auf bis zu 100 Zertifikate des Zertifikatmanagers verweisen.

Load Balancer-Support

In der folgenden Tabelle sehen Sie, welche Zertifikatkonfigurationsmethoden die einzelnen Load Balancer unterstützen.

Load-Balancer	Methode der Zertifikatskonfiguration: Zielproxy-Referenzen…
Load-Balancer	Compute Engine-SSL-Zertifikate	Eine Zertifikatszuordnung vom Zertifikatsmanager	Zertifikate des Zertifikatmanagers direkt
Application Load Balancer (HTTPS-Zielproxys)
Globaler externer Application Load Balancer	Unterstützt globale Zertifikate Selbstverwaltete Von Google verwaltete	Eigenverwaltet Von Google verwaltet
Klassischer Application Load Balancer	Unterstützt globale Zertifikate Selbstverwaltete Von Google verwaltete	Eigenverwaltet Von Google verwaltet
Regionaler externer Application Load Balancer	Unterstützt regionale Zertifikate Selbstverwaltet Von Google verwaltet		Eigenverwaltet Von Google verwaltet
Regionaler interner Application Load Balancer	Unterstützt regionale Zertifikate Selbstverwaltet Von Google verwaltet		Eigenverwaltet Von Google verwaltet
Regionsübergreifender interner Application Load Balancer			Eigenverwaltet Von Google verwaltet
Proxy-Network Load Balancer (Ziel-SSL-Proxys)
Globaler externer Proxy-Network Load Balancer	Unterstützt globale Zertifikate Selbstverwaltete Von Google verwaltete	Eigenverwaltet Von Google verwaltet
Klassischer Proxy-Network Load Balancer	Unterstützt globale Zertifikate Selbstverwaltete Von Google verwaltete	Eigenverwaltet Von Google verwaltet

Regeln für Konfigurationsmethoden

Google Cloud erzwingt die folgenden Regeln für die Zertifikatskonfigurationsmethode:

Load Balancer, die sowohl Compute Engine-SSL-Zertifikate als auch Certificate Manager-Zertifikatzuordnungen unterstützen: Der Zielproxy des Load Balancers kann gleichzeitig auf eine Zertifikatzuordnung und ein oder mehrere Compute Engine-SSL-Zertifikate verweisen. In diesem Fall werden jedoch alle Compute Engine-SSL-Zertifikate ignoriert und nur die Zertifikate aus der Zertifikatzuordnung werden vom Load Balancer verwendet.
Load Balancer, die sowohl Compute Engine-SSL-Zertifikate als auch direkt angehängte Certificate Manager-Zertifikate unterstützen: Der Zielproxy des Load Balancers kann nur so konfiguriert werden, dass er auf bis zu 15 Compute Engine-SSL-Zertifikate oder bis zu 100 Certificate Manager-Zertifikate verweist, nicht auf eine Kombination aus beiden.

Zertifikat-Typen

Google Cloud unterstützt sowohl selbstverwaltete als auch von Google verwaltete Zertifikate.

Selbstverwaltete SSL-Zertifikate

Selbstverwaltete SSL-Zertifikate sind solche, die Sie selbst erwerben, bereitstellen und erneuern. Selbstverwaltete Zertifikate können jeden der folgenden Zertifikatstypen für öffentliche Schlüssel haben:

Domain Validation (DV)
Organization Validation (OV)
Extended Validation (EV)

Sie können selbstverwaltete SSL-Zertifikate mit folgenden Tools erstellen:

SSL-Zertifikatsressourcen der Compute Engine: Weitere Informationen finden Sie unter Selbstverwaltete SSL-Zertifikate verwenden.
Zertifikatmanager: Weitere Informationen finden Sie unter:
- Globales selbstverwaltetes Zertifikat bereitstellen
- Regionales selbstverwaltetes Zertifikat bereitstellen

Von Google verwaltete SSL-Zertifikate

Von Google verwaltete SSL-Zertifikate sind Zertifikate, die Google Cloud automatisch von Google abgerufen, verwaltet und verlängert werden. Von Google verwaltete Zertifikate sind immer DV-Zertifikate (Domain Validation). Sie zeigen nicht die Identität einer Organisation oder Person, die mit dem Zertifikat verknüpft ist.

Von Google verwaltete Zertifikate mit Platzhaltern werden vom Zertifikatsmanager nur bei Verwendung der DNS-Autorisierung unterstützt.

Sie können von Google verwaltete SSL-Zertifikate mit folgenden Tools erstellen:

Compute Engine-SSL-Zertifikatsressourcen: Von Google verwaltete SSL-Zertifikate werden nur von globalen Compute Engine-sslCertificates-Ressourcen unterstützt, nicht von regionSslCertificates. Weitere Informationen finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.
Certificate Manager: Weitere Informationen finden Sie in der Bereitstellungsübersicht.

Mehrere SSL-Zertifikate

Ein Application Load Balancer oder Proxy-Netzwerk-Load Balancer kann zwei oder mehr SSL-Zertifikate gleichzeitig hosten, wenn sein Zielproxy mit einer unterstützten Zertifikatkonfigurationsmethode konfiguriert ist. Verwenden Sie Certificate Manager, wenn mehrere SSL-Zertifikate erforderlich sind.

Load Balancer, die Compute Engine-SSL-Zertifikate unterstützen: Der Zielproxy des Load Balancers kann auf bis zu 15 Compute Engine-SSL-Zertifikate verweisen. Die erste referenzierte Compute Engine-SSL-Zertifikatsressource ist das standardmäßige (primäre) Zertifikat für den Zielproxy.
Load Balancer, die eine Zertifikatszuordnung von Certificate Manager unterstützen: Der Zielproxy des Load Balancers verweist auf eine einzelne Zertifikatszuordnung. Die Zertifikatszuordnung unterstützt Tausende von Zertifikatszuordnungseinträgen. Sie können konfigurieren, welcher Zertifikatseintrag das Standardzertifikat (primäres Zertifikat) für die Zertifikatszuordnung ist.
Load Balancer, die eine direkte Referenzierung auf Zertifikate von Certificate Manager unterstützen: Der Zielproxy des Load Balancers kann bis zu 100 Zertifikate von Certificate Manager referenzieren. Die erste referenzierte SSL-Zertifikatsressource von Certificate Manager ist das standardmäßige (primäre) Zertifikat für den Zielproxy.

Weitere Informationen finden Sie unter:

Ziel-Proxys und SSL-Zertifikate in der Load Balancing-Dokumentation
Ressourcenkontingente und Limits in der Certificate Manager-Dokumentation

Zertifikatsauswahlverfahren

Die folgende Zertifikatsauswahl gilt für Load Balancer, deren Zielproxys auf mehrere Compute Engine-SSL-Zertifikate oder mehrere Certificate Manager-Zertifikate verweisen.

Die Zertifikatsauswahl unterscheidet sich, wenn der Zielproxy eines Load Balancers auf eine Zertifikatszuordnung des Zertifikatmanagers verweist. Weitere Informationen zur Zertifikatsauswahl für eine Zertifikatszuordnung finden Sie in der Certificate Manager-Dokumentation unter Logik für die Zertifikatsauswahl.

Nachdem ein Client eine Verbindung zum Load Balancer hergestellt hat, handeln der Client und der Load Balancer eine TLS-Sitzung aus. Während der TLS-Sitzungsverhandlung sendet der Client dem Load Balancer eine Liste der unterstützten TLS-Chiffren (in ClientHello). Der Load Balancer wählt ein Zertifikat aus, dessen Algorithmus für öffentliche Schlüssel mit dem Client kompatibel ist. Der Client kann im Rahmen dieser Verhandlung auch einen SNI-Hostnamen (Server Name Indication) an den Load Balancer senden. SNI-Hostnamendaten werden manchmal verwendet, um dem Load Balancer bei der Auswahl des Zertifikats zu helfen, das an den Client gesendet werden soll.

Wenn der Zielproxy des Load Balancers nur auf ein Zertifikat verweist, wird dieses Zertifikat verwendet und der Wert des vom Client gesendeten SNI-Hostnamens ist nicht relevant.
Wenn der Ziel-Proxy des Load Balancers auf zwei oder mehr Zertifikate verweist, wählt der Load Balancer mit dem folgenden Verfahren ein einzelnes Zertifikat aus:
- Wenn der Client keinen SNI-Hostnamen in seiner ClientHello gesendet hat, verwendet der Load Balancer das erste Zertifikat in der Zertifikatsliste.
- Wenn der Client einen SNI-Hostnamen sendet, der nicht mit einem allgemeinen Zertifikatsnamen (CN) und mit keinem alternativen Zertifikatsnamen (SAN) übereinstimmt, verwendet der Load Balancer das erste Zertifikat in der Zertifikatsliste.
- In allen anderen Fällen: Der Load Balancer wählt ein Zertifikat anhand des folgenden Abgleichs aus:
  - Der Abgleich erfolgt mit dem längsten Suffix gegen den allgemeinen Zertifikatsnamen (CN) und den alternativen Zertifikatsnamen (SAN), wobei ECDSA-Zertifikate gegenüber RSA-Zertifikaten bevorzugt werden.
  - Betrachten Sie zur Veranschaulichung der Abgleichsmethode einen Zielproxy, der auf die folgenden beiden Zertifikate verweist:
    - Zertifikat A
      - CN: cats.pets.example.com
      - SANs: cats.pets.example.com, *.pets.example.com, *.example.com
    - Zertifikat B
      - CN: dogs.pets.example.com
      - SANs: dogs.pets.example.com, *.pets.example.com, *.example.com
  - Betrachten Sie nun die folgenden Szenarien:
    - Wenn der vom Client gesendete SNI-Hostname cats.pets.example.com lautet, verwendet der Load Balancer Zertifikat A.
    - Wenn der vom Client gesendete SNI-Hostname ferrets.pets.example.com lautet, gibt es keine genaue Übereinstimmung. Daher wählt der Load Balancer entweder Zertifikat A oder Zertifikat B aus, da beide *.pets.example.com in ihrer SAN-Liste enthalten. In diesem Fall können Sie nicht steuern, welches Zertifikat ausgewählt wird.
Nachdem ein Zertifikat ausgewählt wurde, sendet der Load Balancer dieses Zertifikat an den Client nur dann, wenn das ausgewählte Zertifikat einen Public-Key-Algorithmus verwendet, der mit einer Chiffre kompatibel ist, die vom Client in der ClientHello gesendet wurde. Die TLS-Verhandlung schlägt fehl, wenn der Client keine Cipher Suite unterstützt, die den öffentlichen Schlüsselalgorithmus (ECDSA oder RSA) des vom Load Balancer ausgewählten Zertifikats enthält.

Preise

Bei der Verwendung von Load Balancern fallen Netzwerkgebühren an. Google Cloud Weitere Informationen finden Sie unter Alle Netzwerkpreise. Informationen zu Preisen für Certificate Manager finden Sie in der Dokumentation zu Certificate Manager. Für die Verwendung von Compute Engine-SSL-Zertifikatsressourcen fallen keine zusätzlichen Gebühren an.

Nächste Schritte

Certificate Manager – Übersicht

Verschlüsselung für Back-Ends
Whitepaper zur Verschlüsselung während der Übertragung Google Cloud

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten