TLS (Transport Layer Security) è utilizzato per criptare le informazioni durante l'invio su una rete, garantendo privacy tra un client e un server o con il bilanciatore del carico di rete passthrough esterno regionale. Bilanciatori del carico proxy Google Cloud le cui regole di forwarding fanno riferimento a il proxy HTTPS di destinazione o il proxy SSL di destinazione richiedono una chiave privata e un certificato SSL nell'ambito della configurazione del proxy di destinazione del bilanciatore del carico.
Metodi di configurazione dei certificati
Google Cloud offre due metodi per configurare i certificati SSL per HTTP(S) e Bilanciatori del carico del proxy SSL. Entrambi i metodi supportano la gestione autonoma e gestita da Google Certificati SSL.
Risorsa del certificato SSL di Compute Engine: con questo metodo, proxy di destinazione per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico È configurato un bilanciatore del carico di rete proxy esterno, un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno per fare riferimento a un certificato SSL Compute Engine delle risorse. L'SSL di certificazione contiene la chiave privata, il certificato corrispondente e (facoltativamente) dei certificati CA. Questo metodo supporta tutte le Livelli di servizio supportati dal carico con il bilanciatore del carico di rete passthrough esterno regionale.
Gestore certificati: con questo metodo, il proxy di destinazione per un Il bilanciatore del carico delle applicazioni esterno globale, il bilanciatore del carico delle applicazioni classico o il bilanciatore del carico di rete proxy esterno è configurate per fare riferimento a una mappa di certificati. La mappa di certificati contiene uno o più voci di certificato. Ogni voce di certificato fa riferimento a una singola della risorsa del certificato di Gestore certificati e ogni certificato e la risorsa contiene una chiave privata e un certificato. Con Gestore certificati, un proxy HTTPS di destinazione o un proxy SSL di destinazione fare riferimento a una mappa di certificati con migliaia di voci di certificati SSL. Questo è disponibile solo quando il bilanciatore del carico utilizza Premium Network Livello di servizio.
Per i bilanciatori del carico delle applicazioni interni tra regioni, i bilanciatori del carico delle applicazioni interni regionali e Bilanciatori del carico delle applicazioni esterni regionali, Gestore certificati certificati siano collegati al proxy di destinazione. Le mappe di certificati non sono supportati.
Per saperne di più, consulta la seguente documentazione:
Tipi di certificato
Puoi creare i tuoi certificati o Google può gestirli per te:
I certificati SSL autogestiti sono certificati che ottieni, e rinnovati. I certificati autogestiti possono essere uno qualsiasi di queste chiavi pubbliche certificato tipi:
- Convalida del dominio (DV)
- Convalida dell'organizzazione (OV)
- Certificati EV (Extended Validation)
Per ulteriori informazioni sul protocollo SSL autogestito per Compute Engine certificati, consulta l'articolo Utilizzare SSL autogestito certificati.
Per ulteriori informazioni sui certificati SSL autogestiti e in Gestione certificati, consulta Caricare un account certificato nel documentazione di Certificate Manager o Esegui il deployment di un modello per un'architettura end-to-end durante il tutorial.
I certificati SSL gestiti da Google sono certificati che Google Cloud ottiene, gestisce e rinnova automaticamente. I certificati gestiti da Google sempre certificati DV (Domain Validation). Non spiegano l'identità di un'organizzazione o di un individuo associato al certificato e non supportano nomi comuni con caratteri jolly.
Per ulteriori informazioni sul protocollo SSL in Compute Engine gestito da Google certificati, consulta l'articolo su come utilizzare il protocollo SSL gestito da Google certificati.
Gestore certificati supporta i certificati SSL gestiti da Google utilizzando del bilanciatore del carico, dell'autorizzazione DNS e dell'integrazione Certificate Authority Service. Per ulteriori informazioni sul protocollo SSL gestito da Google certificati Gestione certificati, consulta Panoramica del deployment nel nella documentazione di Gestore certificati.
Certificati e bilanciatori del carico Google Cloud
Le sezioni seguenti descrivono in che modo ogni bilanciatore del carico delle applicazioni supporta metodi di configurazione dei certificati diversi.
Certificati SSL di Compute Engine
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano certificati SSL autogestiti Compute Engine o gestiti da Google Certificati SSL Compute Engine o entrambi:
| Supporto dei certificati SSL di Compute Engine | ||
|---|---|---|
| Bilanciatore del carico | Autogestito | Gestita da Google |
| Bilanciatore del carico delle applicazioni esterno globale * | sslCertificates |
sslCertificates |
| Bilanciatore del carico delle applicazioni classico * | sslCertificates |
sslCertificates |
| Bilanciatore del carico delle applicazioni esterno regionale † | regionSslCertificates |
|
| Bilanciatore del carico delle applicazioni interno regionale † | regionSslCertificates |
|
| Bilanciatore del carico delle applicazioni interno tra regioni * | ||
| Bilanciatore del carico di rete proxy esterno (con proxy SSL) ‡ | sslCertificates |
sslCertificates |
* Il bilanciatore del carico delle applicazioni esterno globale, il bilanciatore del carico delle applicazioni interno tra regioni e il bilanciatore del carico delle applicazioni classico utilizza HTTPS target globale dei proxy, anche quando un bilanciatore del carico delle applicazioni classico utilizza il livello Standard.
† Il bilanciatore del carico delle applicazioni esterno regionale e il bilanciatore del carico delle applicazioni interno utilizzano regionale proxy HTTPS di destinazione.
‡ Il bilanciatore del carico di rete proxy esterno utilizza SSL target globale proxy, anche nel livello Standard.
Certificati SSL di Gestore certificati
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano Certificati autogestiti o gestiti da Google di Gestore certificati o entrambe le cose.
| Bilanciatore del carico | Certificato gestito da Google | Certificato autogestito | ||
|---|---|---|---|---|
| Autorizzazione DNS | Autorizzazione bilanciatore del carico | Certificate Authority Service (CA Service) | ||
| Bilanciatore del carico delle applicazioni esterno globale | info |
info |
info |
info |
| Bilanciatore del carico delle applicazioni classico | info |
info |
info |
info |
| Bilanciatore del carico di rete proxy esterno globale | info |
info |
info |
info |
| Bilanciatore del carico delle applicazioni interno tra regioni | info |
info |
info |
|
| Bilanciatore del carico delle applicazioni esterno regionale | info (anteprima) |
info (anteprima) |
info |
|
| Bilanciatore del carico delle applicazioni interno regionale | info (anteprima) |
info (anteprima) |
info |
|
Più certificati SSL
Puoi utilizzare lo stesso proxy HTTPS di destinazione o il proxy SSL di destinazione per ospitare più certificati: comune quando il bilanciatore del carico supporta più nomi di dominio. Puoi configurare una singola regola di forwarding (un solo indirizzo IP e una sola porta) fare riferimento a un proxy di destinazione comune oppure configurare più regole di forwarding (indirizzi IP e porte diversi) per fare riferimento a un proxy di destinazione comune.
Più risorse del certificato SSL di Compute Engine
Quando si utilizzano le risorse dei certificati SSL di Compute Engine, ogni proxy di destinazione una risorsa può fare riferimento a un numero massimo non configurabile di certificati per proxy SSL di destinazione o HTTPS di destinazione. Per ulteriori informazioni, vedi Pool di destinazione e target proxy nel la documentazione su quote e limiti per il bilanciamento del carico.
La prima risorsa del certificato SSL di Compute Engine a cui fa riferimento un carico il proxy di destinazione del bilanciatore è considerato il certificato predefinito (principale) per con il bilanciatore del carico di rete passthrough esterno regionale.
Più certificati SSL utilizzando Gestore certificati
Quando utilizzi Gestore certificati con una mappa di certificati su un carico di fatturazione, ogni risorsa proxy di destinazione fa riferimento una singola mappa di certificati. Una mappa di certificati fa riferimento a uno o più certificati e configurare la voce di certificato predefinita (principale) per la mappa. Il numero di mappe, voci e certificati del Gestore certificati viene quote per progetto configurabili. Per ulteriori informazioni, consulta la sezione Risorse quote nel nella documentazione di Gestore certificati.
Se utilizzi un bilanciatore del carico che supporta Gestore certificati e devi ospitare più certificati SSL per ogni proxy di destinazione, assicurati stai utilizzando Gestore certificati anziché SSL di Compute Engine delle risorse dei certificati.
Metodo di selezione dei certificati
Dopo che un client si connette a un bilanciatore del carico HTTP(S) o del proxy SSL,
e il bilanciatore del carico negoziano
una sessione TLS. Durante la negoziazione della sessione TLS,
invia al bilanciatore del carico un elenco di crittografie TLS che supporta (nel
ClientHello). Il bilanciatore del carico seleziona un certificato con chiave pubblica
sia compatibile con il client. Il client può anche inviare un nome server
dell'indicazione (SNI) al bilanciatore del carico nell'ambito di questa negoziazione. SNI
A volte i dati del nome host vengono utilizzati per aiutare il bilanciatore del carico a scegliere quale certificato
che deve inviare al client.
Puoi modellare il processo utilizzato dai bilanciatori del carico proxy di Google Cloud per seleziona un certificato da inviare a un client come segue. Nel modello, inizia con tutti i certificati SSL configurati sul proxy HTTPS di destinazione o proxy SSL di destinazione, indipendentemente dal metodo di configurazione.
Il bilanciatore del carico seleziona un singolo certificato candidato:
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a un solo Compute Engine risorsa di certificato SSL o se il proxy di destinazione di un bilanciatore del carico fa riferimento a una Mappa Gestore certificati con una sola voce di certificato, il carico utilizza il solo certificato configurato come certificato candidato. Il valore del nome host SNI (se fornito) non influisce del bilanciatore del carico. Vai al passaggio 2.
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a due o più alle risorse dei certificati SSL di Compute Engine o se il server il proxy di destinazione fa riferimento a una mappa di Gestore certificati con due o più di certificazione, il bilanciatore del carico utilizza il seguente processo per selezionare Un singolo candidato per il certificato:
Se il client non invia alcun nome host SNI nel suo
ClientHello, il utilizza il certificato SSL predefinito (principale) come certificato candidato. Vai al passaggio 2.Se il client invia un nome host SNI che non corrisponde ad alcun certificato comune nome (CN) e non corrisponde ad alcuna alternativa dell'oggetto del certificato nome (SAN), il bilanciatore del carico utilizza il certificato SSL predefinito (principale) come il candidato al certificato. Vai al passaggio 2.
Il bilanciatore del carico seleziona un certificato candidato che corrisponde alla Nome host SNI inviato dal client. La corrispondenza avviene in base al prefisso più lungo rispetto al nome comune (CN) e al nome alternativo del soggetto (SAN) attributi dei certificati, con una preferenza per i certificati ECDSA su certificati RSA. Per illustrare il metodo di corrispondenza, considera un target proxy che fa riferimento a un certificato il cui CN è
cats.pets.example.come un altro certificato il cui CN èdogs.pets.example.com. Oltre a includere il valore di ogni CN nel suo SAN, ogni certificato include*.pets.example.come*.example.comnelle sue SAN.- Se il nome host SNI fornito è
cats.pets.example.com, il carico utilizza il certificato il cui CN ècats.pets.example.comcome il candidato al certificato. Vai al passaggio 2. - Se il nome host SNI fornito è
ferrets.pets.example.com, il carico utilizza uno dei due certificati come certificato candidato perché entrambi i certificati configurati hanno SAN che includi*.pets.example.com. Non puoi stabilire quale dei due certificati diventa il candidato per il certificato in questa situazione. Vai al passaggio 2.
- Se il nome host SNI fornito è
Il certificato candidato viene inviato al client se quest'ultimo è il candidato utilizza un algoritmo a chiave pubblica compatibile con uno dei crittografie.
- La negoziazione TLS può non riuscire se il client non supporta una suite di crittografia che includa l'algoritmo della chiave pubblica (ECDSA o RSA) del certificato.
- Il bilanciatore del carico non utilizza i valori
notValidBeforeenotValidAftercome parte del metodo di selezione dei candidati. Ad esempio, il bilanciatore del carico può gestire un certificato scaduto se certificato scaduto è stato selezionato come candidato al certificato.
Prezzi
Quando utilizzi i bilanciatori del carico Google Cloud, ti vengono addebitati i costi di rete. Per ulteriori informazioni, consulta Tutti i prezzi di networking. Per i prezzi di Certificate Manager, vedi Prezzi nel documentazione di Gestore certificati. Là non sono previsti costi aggiuntivi per l'utilizzo del certificato SSL di Compute Engine Google Cloud.
Passaggi successivi
Per ulteriori informazioni sul protocollo SSL di Compute Engine certificati, consulta le pagine seguenti:
- Per ulteriori informazioni sul protocollo SSL autogestito per Compute Engine certificati, consulta l'articolo Utilizzare SSL autogestito certificati.
- Per ulteriori informazioni sul protocollo SSL in Compute Engine gestito da Google certificati, consulta l'articolo su come utilizzare il protocollo SSL gestito da Google certificati.
- Per informazioni su quote e limiti (incluse le lunghezze delle chiavi supportate) per Certificati SSL di Compute Engine, consulta SSL certificati e pool di destinazione e scegli come target proxy nel documentazione sul bilanciatore del carico.
Per ulteriori informazioni su Gestore certificati, consulta le pagine seguenti:
- Gestore certificati Panoramica.
- Per ulteriori informazioni sui certificati SSL autogestiti e in Gestione certificati, consulta Caricare un account certificato nel documentazione di Certificate Manager o Esegui il deployment di un modello per un'architettura end-to-end durante il tutorial.
- Per ulteriori informazioni sui certificati SSL gestiti da Google e Gestione certificati, consulta Gestire certificati nel nella documentazione di Gestore certificati.
- Per saperne di più su quote e limiti per Gestore certificati, vedi quote delle risorse nel nella documentazione di Gestore certificati.
Per maggiori dettagli su come configurare i certificati SSL per i bilanciatori del carico proxy gestite da GKE, consulta GKE Ingress Bilanciamento del carico HTTP(S), il Gateway GKE documentazione sull'API e Bilanciamento del carico nativo del container tramite servizio autonomo a livello di zona NEG.
Per maggiori dettagli sui bilanciatori del carico e sulla crittografia dei dati in transito, vedi La crittografia backend e la sezione Crittografia dei dati in transito Google Cloud.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente