Ringkasan sertifikat SSL

SSL/TLS adalah protokol kriptografi yang paling banyak digunakan di internet. Secara teknis, TLS adalah penerus SSL, meskipun istilah tersebut terkadang digunakan secara bergantian, seperti dalam dokumen ini.

Transport Layer Security (TLS) digunakan untuk mengenkripsi informasi saat dikirim melalui jaringan, sehingga memberikan privasi antara klien dan server atau load balancer. Load balancer proxy Google Cloud yang aturan penerusannya mereferensikan proxy HTTPS target atau proxy SSL target memerlukan kunci pribadi dan sertifikat SSL sebagai bagian dari konfigurasi proxy target load balancer.

Metode konfigurasi sertifikat

Google Cloud menawarkan dua metode untuk mengonfigurasi sertifikat SSL untuk load balancer proxy HTTP(S) dan SSL. Kedua metode tersebut mendukung sertifikat SSL yang dikelola sendiri dan dikelola Google.

  • Resource sertifikat SSL Compute Engine: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal, Load Balancer Aplikasi eksternal regional, atau Load Balancer Aplikasi internal dikonfigurasi untuk mereferensikan resource sertifikat SSL Compute Engine. Resource sertifikat SSL berisi kunci pribadi, sertifikat yang sesuai, dan—secara opsional—sertifikat CA. Metode ini mendukung semua Network Service Tiers yang didukung oleh load balancer.

  • Pengelola Sertifikat: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, atau Load Balancer Jaringan proxy eksternal dikonfigurasi untuk mereferensikan peta sertifikat. Peta sertifikat berisi satu atau beberapa entri sertifikat. Setiap entri sertifikat mereferensikan satu resource sertifikat Pengelola Sertifikat, dan setiap resource sertifikat berisi kunci pribadi dan sertifikat. Dengan Certificate Manager, proxy HTTPS target atau proxy SSL target dapat mereferensikan peta sertifikat dengan ribuan entri sertifikat SSL. Metode ini hanya tersedia jika load balancer menggunakan Premium Network Service Tier.

    Untuk Load Balancer Aplikasi internal lintas region, Load Balancer Aplikasi internal regional, dan Load Balancer Aplikasi eksternal regional, sertifikat Pengelola Sertifikat dilampirkan ke proxy target. Peta sertifikat tidak didukung.

    Untuk informasi selengkapnya, lihat dokumentasi berikut:

Tabel berikut menunjukkan berbagai jenis resource sertifikat yang dapat disertakan ke proxy HTTPS target atau proxy SSL target dari load balancer proxy Google Cloud. Sertifikat SSL Compute Engine dilampirkan langsung ke proxy target, sedangkan sertifikat SSL Certificate Manager dapat dilampirkan langsung ke proxy target atau melalui peta sertifikat.

Load balancer proxy Sertifikat SSL Compute Engine Sertifikat SSL Certificate Manager
Dilampirkan ke proxy target melalui peta sertifikat Dilampirkan langsung ke proxy target
Load Balancer Aplikasi eksternal global (dengan proxy HTTPS)
Load Balancer Aplikasi Klasik (dengan proxy HTTPS)
Load Balancer Jaringan proxy eksternal global (dengan proxy SSL)
Load Balancer Jaringan proxy klasik (dengan proxy SSL)
Load Balancer Aplikasi internal lintas region (dengan proxy HTTPS)
Load Balancer Aplikasi eksternal regional (dengan proxy HTTPS)
Load Balancer Aplikasi internal regional (dengan proxy HTTPS)

Jenis sertifikat

Anda dapat membuat sertifikat sendiri atau Google dapat mengelolanya untuk Anda:
  • Sertifikat SSL yang dikelola Google adalah sertifikat yang diperoleh, dikelola, dan diperpanjang secara otomatis oleh Google Cloud. Sertifikat yang dikelola Google selalu berupa sertifikat Validasi Domain (DV). Sertifikat ini tidak menunjukkan identitas organisasi atau individu yang terkait dengan sertifikat, dan tidak mendukung nama umum karakter pengganti.

    Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola Google, lihat Menggunakan sertifikat SSL yang dikelola Google.

    Certificate Manager mendukung sertifikat SSL yang dikelola Google menggunakan otorisasi load balancer, otorisasi DNS, dan integrasi dengan Certificate Authority Service. Untuk informasi selengkapnya tentang Pengelola Sertifikat sertifikat SSL yang dikelola Google, lihat Ringkasan deployment dalam dokumentasi Pengelola Sertifikat.

Sertifikat dan load balancer Google Cloud

Bagian berikut menjelaskan cara setiap Application Load Balancer mendukung metode konfigurasi sertifikat yang berbeda.

Sertifikat SSL Compute Engine

Tabel berikut menunjukkan load balancer Google Cloud yang mendukung sertifikat SSL Compute Engine yang dikelola sendiri atau sertifikat SSL Compute Engine yang dikelola Google, atau keduanya:

Dukungan sertifikat SSL Compute Engine
Load balancer Dikelola sendiri Dikelola oleh Google
Load Balancer Aplikasi eksternal global *
sslCertificates

sslCertificates
Load Balancer Aplikasi Klasik *
sslCertificates

sslCertificates
Load Balancer Aplikasi eksternal regional
regionSslCertificates
Load Balancer Aplikasi internal regional
regionSslCertificates
Load Balancer Aplikasi internal lintas region *
Load Balancer Jaringan proxy eksternal (dengan proxy SSL)
sslCertificates

sslCertificates

* Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi internal lintas region, dan Load Balancer Aplikasi klasik menggunakan proxy HTTPS target global, meskipun Load Balancer Aplikasi klasik menggunakan paket Standard.

Load Balancer Aplikasi eksternal regional dan Load Balancer Aplikasi internal menggunakan proxy HTTPS target regional.

Load Balancer Jaringan proxy eksternal menggunakan proxy SSL target global, bahkan di paket Standar.

Sertifikat SSL Certificate Manager

Tabel berikut menunjukkan load balancer Google Cloud yang mendukung sertifikat yang dikelola sendiri atau dikelola Google oleh Certificate Manager, atau keduanya.

Load balancer Sertifikat yang dikelola Google Sertifikat yang dikelola sendiri
Otorisasi DNS Otorisasi load balancer Certificate Authority Service (Layanan CA)
Load Balancer Aplikasi eksternal global
info

info

info

info
Load Balancer Aplikasi Klasik
info

info

info

info
Load Balancer Jaringan proxy eksternal global
info

info

info

info
Load Balancer Aplikasi internal lintas region
info

info

info
Load Balancer Aplikasi eksternal regional
info

info

info
Load Balancer Aplikasi internal regional
info

info

info

Beberapa sertifikat SSL

Anda dapat menggunakan proxy HTTPS target atau proxy SSL target yang sama untuk menghosting beberapa sertifikat, yang umum terjadi saat load balancer mendukung beberapa nama domain. Anda dapat mengonfigurasi satu aturan penerusan (satu alamat IP dan port) untuk mereferensikan proxy target umum, atau Anda dapat mengonfigurasi beberapa aturan penerusan (alamat IP dan port yang berbeda) untuk mereferensikan proxy target umum.

Beberapa resource sertifikat SSL Compute Engine

Saat menggunakan resource sertifikat SSL Compute Engine, setiap resource proxy target dapat mereferensikan hingga jumlah maksimum sertifikat SSL per proxy HTTPS target atau proxy SSL target yang tidak dapat dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Kumpulan target dan proxy target dalam dokumentasi kuota dan batas load balancing.

Resource sertifikat SSL Compute Engine pertama yang dirujuk oleh proxy target load balancer dianggap sebagai sertifikat default (utama) untuk load balancer.

Beberapa sertifikat SSL menggunakan Pengelola Sertifikat

Saat menggunakan Pengelola Sertifikat dengan peta sertifikat di load balancer, setiap resource proxy target mereferensikan satu peta sertifikat. Peta sertifikat mereferensikan satu atau beberapa entri sertifikat, dan Anda dapat mengonfigurasi entri sertifikat mana yang merupakan sertifikat default (utama) untuk peta. Jumlah peta, entri, dan sertifikat Pengelola Sertifikat adalah kuota per project yang dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Kuota resource dalam dokumentasi Pengelola Sertifikat.

Jika Anda menggunakan load balancer yang mendukung Pengelola Sertifikat dan perlu menghosting lebih dari beberapa sertifikat SSL per proxy target, pastikan Anda menggunakan Pengelola Sertifikat, bukan resource sertifikat SSL Compute Engine.

Metode pemilihan sertifikat

Setelah klien terhubung ke load balancer proxy HTTP(S) atau SSL, klien dan load balancer akan menegosiasikan sesi TLS. Selama negosiasi sesi TLS, klien mengirimkan daftar cipher TLS yang didukungnya ke load balancer (di ClientHello). Load balancer memilih sertifikat yang algoritma kunci publiknya kompatibel dengan klien. Klien juga dapat mengirim nama host server name indication (SNI) ke load balancer sebagai bagian dari negosiasi ini. Data nama host SNI terkadang digunakan untuk membantu load balancer memilih sertifikat yang akan dikirim ke klien.

Load balancer proxy Google Cloud mengikuti langkah-langkah yang diuraikan di bagian ini untuk memilih sertifikat dan mengirimkannya ke klien. Istilah "sertifikat SSL default (utama)", seperti yang digunakan dalam langkah-langkah berikut, mengacu pada sertifikat SSL Compute Engine pertama yang dirujuk oleh proxy target.

  1. Load balancer memilih satu kandidat sertifikat:

    • Jika proxy target load balancer hanya mereferensikan satu resource sertifikat SSL Compute Engine, load balancer akan menggunakan satu-satunya sertifikat yang dikonfigurasi sebagai kandidat sertifikat. Nilai nama host SNI (jika disediakan) sama sekali tidak memengaruhi load balancer. Lanjutkan ke langkah 2.

    • Jika proxy target load balancer mereferensikan dua atau beberapa resource sertifikat SSL Compute Engine, load balancer akan menggunakan proses berikut untuk memilih kandidat sertifikat tunggal:

      • Jika klien tidak mengirim nama host SNI apa pun di ClientHello-nya, load balancer akan menggunakan sertifikat SSL default (utama) sebagai kandidat sertifikat. Lanjutkan ke langkah 2.

      • Jika klien mengirim nama host SNI yang tidak cocok dengan nama umum (CN) sertifikat apa pun dan tidak cocok dengan nama alternatif subjek (SAN) sertifikat apa pun, load balancer akan menggunakan sertifikat SSL default (utama) sebagai kandidat sertifikat. Lanjutkan ke langkah 2.

      • Load balancer memilih kandidat sertifikat yang cocok dengan nama host SNI yang dikirim oleh klien. Pencocokan dilakukan dengan awalan terpanjang terhadap atribut sertifikat nama umum (CN) dan nama alternatif subjek (SAN), dengan preferensi untuk sertifikat ECDSA daripada sertifikat RSA. Untuk mengilustrasikan metode pencocokan, pertimbangkan proxy target yang mereferensikan satu sertifikat dengan CN cats.pets.example.com dan sertifikat lain dengan CN dogs.pets.example.com. Selain menyertakan setiap nilai CN dalam SAN-nya, setiap sertifikat menyertakan *.pets.example.com, dan *.example.com dalam SAN-nya.

        • Jika nama host SNI yang diberikan adalah cats.pets.example.com, load balancer akan menggunakan sertifikat yang CN-nya adalah cats.pets.example.com sebagai calon sertifikat. Lanjutkan ke langkah 2.
        • Jika nama host SNI yang diberikan adalah ferrets.pets.example.com, load balancer akan menggunakan salah satu dari dua sertifikat sebagai kandidat sertifikat karena kedua sertifikat yang dikonfigurasi memiliki SAN yang menyertakan *.pets.example.com. Anda tidak dapat mengontrol manakah dari dua sertifikat yang menjadi kandidat sertifikat dalam situasi ini. Lanjutkan ke langkah 2.
  2. Calon sertifikat dikirim ke klien jika calon sertifikat menggunakan algoritma kunci publik yang kompatibel dengan salah satu cipher yang dinyatakan klien.

    • Negosiasi TLS dapat gagal jika klien tidak mendukung cipher suite yang menyertakan algoritma kunci publik (ECDSA atau RSA) dari sertifikat.
    • Load balancer tidak menggunakan atribut notValidBefore dan notValidAfter sertifikat sebagai bagian dari metode pemilihan kandidat. Misalnya, load balancer dapat menayangkan sertifikat yang sudah tidak berlaku jika sertifikat yang sudah tidak berlaku dipilih sebagai kandidat sertifikat.

Harga

Anda dikenai biaya jaringan saat menggunakan load balancer Google Cloud. Untuk informasi selengkapnya, lihat Semua harga jaringan. Untuk harga Certificate Manager, lihat Harga dalam dokumentasi Certificate Manager. Tidak ada biaya tambahan untuk menggunakan resource sertifikat SSL Compute Engine.

Langkah selanjutnya

Coba sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Mulai secara gratis