SSL/TLS è il protocollo crittografico più utilizzato su internet. Tecnicamente, TLS è il successore di SSL, anche se a volte i termini vengono utilizzati in modo intercambiabile, come in questo documento.
Transport Layer Security (TLS) viene utilizzato per criptare le informazioni durante l'invio su una rete, garantendo la privacy tra un client e un server o un bilanciatore del carico. Un bilanciatore del carico delle applicazioni o un bilanciatore del carico di rete proxy che utilizza SSL richiede almeno una chiave privata e un certificato SSL.
Metodi di configurazione dei certificati
Google Cloud offre tre metodi di configurazione dei certificati per i bilanciatori del carico delle applicazioni che utilizzano proxy HTTPS target e i bilanciatori del carico di rete proxy che utilizzano proxy SSL target.
Il proxy di destinazione fa riferimento ai certificati SSL di Compute Engine: con questo metodo, il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 15 risorse di certificati SSL di Compute Engine. Ogni risorsa del certificato SSL di Compute Engine contiene la chiave privata, il certificato corrispondente e, facoltativamente, i certificati CA.
Il proxy di destinazione fa riferimento a una mappa di certificati di Gestore certificati: con questo metodo, il proxy di destinazione del bilanciatore del carico fa riferimento a una singola mappa di certificati. La mappa dei certificati supporta migliaia di voci per impostazione predefinita e può essere scalata fino a milioni di voci. Ogni voce contiene i dati della chiave privata e del certificato.
Il proxy di destinazione fa riferimento direttamente ai certificati di Gestione certificati: con questo metodo, il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 100 certificati di Gestione certificati.
Supporto del bilanciatore del carico
La tabella seguente mostra i metodi di configurazione dei certificati supportati da ciascun bilanciatore del carico.
| Bilanciatore del carico | Metodo di configurazione del certificato: riferimenti al proxy di destinazione | |||
|---|---|---|---|---|
| Certificati SSL di Compute Engine | Una mappa di certificati di Gestore certificati | Certificati di Gestore certificati direttamente | ||
| Bilanciatori del carico delle applicazioni (proxy HTTPS target) | ||||
| Bilanciatore del carico delle applicazioni esterno globale | Supporta
certificati
globali Gestiti autonomamente Gestiti da Google |
Autonomo Gestito da Google |
||
| Bilanciatore del carico delle applicazioni classico | Supporta
certificati
globali Gestiti autonomamente Gestiti da Google |
Autonomo Gestito da Google |
||
| Bilanciatore del carico delle applicazioni esterno regionale | Supporta
certificati
regionali Autogestiti Gestiti da Google |
Autonomo Gestito da Google |
||
| Bilanciatore del carico delle applicazioni interno regionale | Supporta
certificati
regionali Autogestiti Gestiti da Google |
Autonomo Gestito da Google |
||
| Bilanciatore del carico delle applicazioni interno tra regioni |
Autonomo Gestito da Google |
|||
| Bilanciatori del carico di rete proxy (proxy SSL di destinazione) | ||||
| Bilanciatore del carico di rete proxy esterno globale | Supporta
certificati
globali Gestiti autonomamente Gestiti da Google |
Autonomo Gestito da Google |
||
| Bilanciatore del carico di rete proxy classico | Supporta
certificati
globali Gestiti autonomamente Gestiti da Google |
Autonomo Gestito da Google |
||
Regole del metodo di configurazione
Google Cloud applica le seguenti regole per il metodo di configurazione del certificato:
Per i bilanciatori del carico che supportano sia i certificati SSL di Compute Engine sia le mappe dei certificati di Certificate Manager: il proxy di destinazione del bilanciatore del carico può fare riferimento contemporaneamente sia a una mappa dei certificati sia a uno o più certificati SSL di Compute Engine. Tuttavia, in questo caso, tutti i certificati SSL di Compute Engine vengono ignorati e solo i certificati della mappa dei certificati vengono utilizzati dal bilanciatore del carico.
Per i bilanciatori del carico che supportano sia i certificati SSL di Compute Engine sia i certificati di Certificate Manager collegati direttamente: il proxy di destinazione del bilanciatore del carico può essere configurato solo per fare riferimento a un massimo di 15 certificati SSL di Compute Engine o a un massimo di 100 certificati di Certificate Manager, non a una combinazione di entrambi.
Tipi di certificati
Google Cloud supporta sia i certificati autogestiti che quelli gestiti da Google.
Certificati SSL con gestione indipendente
I certificati SSL con gestione indipendente sono certificati che ottieni, esegui il provisioning e rinnova autonomamente. I certificati autogestiti possono essere di uno dei seguenti tipi di certificati di chiave pubblica:
- Verifica del dominio (DV)
- Convalida dell'organizzazione (OV)
- Certificati con convalida estesa (EV)
Puoi creare certificati SSL autogestiti utilizzando:
Risorse per i certificati SSL di Compute Engine: per ulteriori informazioni, consulta Utilizzare i certificati SSL con gestione indipendente.
Certificate Manager: per ulteriori informazioni, consulta:
Certificati SSL gestiti da Google
I certificati SSL gestiti da Google sono certificati che Google Cloud vengono ottenuti, gestiti e rinnovati automaticamente. I certificati gestiti da Google sono sempre certificati di convalida del dominio (DV). Non dimostrano l'identità di un'organizzazione o di un privato associato al certificato.
I certificati gestiti da Google che utilizzano caratteri jolly sono supportati da Gestore certificati solo se utilizzi l'autorizzazione DNS.
Puoi creare certificati SSL gestiti da Google utilizzando:
- Risorse dei certificati SSL di Compute Engine: solo le risorse
sslCertificatesCompute Engine globali supportano i certificati SSL gestiti da Google;regionSslCertificatesnon li supportano. Per ulteriori informazioni, consulta Utilizzare i certificati SSL gestiti da Google. - Certificate Manager: per ulteriori informazioni, consulta la Panoramica del deployment.
Più certificati SSL
Un bilanciatore del carico delle applicazioni o un bilanciatore del carico di rete proxy può ospitare contemporaneamente due o più certificati SSL quando il proxy di destinazione è configurato utilizzando un metodo di configurazione dei certificati supportato. Come best practice, utilizza Certificate Manager quando sono necessari più certificati SSL.
Per i bilanciatori del carico che supportano i certificati SSL di Compute Engine: il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 15 certificati SSL di Compute Engine. La prima risorsa del certificato SSL di Compute Engine a cui viene fatto riferimento è il certificato predefinito (principale) per il proxy di destinazione.
Per i bilanciatori del carico che supportano una mappa di certificati di Gestore certificati: il proxy di destinazione del bilanciatore del carico fa riferimento a una singola mappa di certificati. La mappa di certificati supporta migliaia di voci. Puoi configurare la voce del certificato predefinita (principale) per la mappa di certificati.
Per i bilanciatori del carico che supportano il riferimento diretto ai certificati di Gestore certificati: il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 100 certificati di Gestore certificati. La prima risorsa del certificato SSL di Certificate Manager a cui viene fatto riferimento è il certificato predefinito (principale) per il proxy di destinazione.
Per ulteriori informazioni, vedi:
Proxy di destinazione e certificati SSL nella documentazione sul bilanciamento del carico.
Quote e limiti delle risorse nella documentazione di Certificate Manager.
Procedura di selezione dei certificati
La seguente procedura di selezione dei certificati si applica ai bilanciatori del carico i cui proxy di destinazione fanno riferimento a più certificati SSL di Compute Engine o a più certificati di Certificate Manager.
La procedura di selezione dei certificati è diversa se il proxy di destinazione di un bilanciatore del carico fa riferimento a una mappa di certificati di Certificate Manager. Per dettagli sulla procedura di selezione dei certificati di una mappa di certificati, consulta la logica di selezione dei certificati nella documentazione di Gestore certificati.
Dopo che un client si connette al bilanciatore del carico, il client e il bilanciatore del carico
negoziano una sessione TLS. Durante la negoziazione della sessione TLS, il client invia al bilanciatore del carico un elenco di crittografi TLS supportati (in ClientHello). Il bilanciatore del carico seleziona un certificato il cui algoritmo a chiave pubblica è compatibile con il client. Nell'ambito di questa negoziazione, il client può anche inviare al bilanciatore del carico un nome host con indicazione nome server (SNI). A volte i dati del nome host SNI vengono utilizzati per aiutare il bilanciatore del carico a scegliere quale certificato inviare al client.
Se il proxy di destinazione del bilanciatore del carico fa riferimento a un solo certificato, viene utilizzato questo certificato e il valore del nome host SNI inviato dal client non è pertinente.
Se il proxy di destinazione del bilanciatore del carico fa riferimento a due o più certificati, il bilanciatore del carico utilizza la seguente procedura per selezionare un unico certificato:
Se il client non ha inviato alcun nome host SNI nel proprio
ClientHello, il bilanciatore del carico utilizza il primo certificato nell'elenco dei certificati.Se il client invia un nome host SNI che non corrisponde a nessun nome comune (CN) del certificato e a nessun nome alternativo del soggetto (SAN) del certificato, il bilanciatore del carico utilizza il primo certificato nell'elenco dei certificati.
In tutti gli altri casi: il bilanciatore del carico seleziona un certificato utilizzando la seguente procedura di corrispondenza:
La corrispondenza viene eseguita in base al suffisso più lungo sia per gli attributi del certificato nome comune (CN) sia per quelli del nome alternativo del soggetto (SAN), con una preferenza per i certificati ECDSA rispetto ai certificati RSA.
Per illustrare il metodo di corrispondenza, prendi in considerazione un proxy di destinazione che fa riferimento ai seguenti due certificati:
Certificato A
- CN:
cats.pets.example.com - SAN:
cats.pets.example.com,*.pets.example.com,*.example.com
- CN:
Certificato B
- CN:
dogs.pets.example.com - SAN:
dogs.pets.example.com,*.pets.example.com,*.example.com
- CN:
Ora considera i seguenti scenari:
- Se il nome host SNI inviato dal client è
cats.pets.example.com, il bilanciatore del carico utilizza il certificato A. - Se il nome host SNI inviato dal client è
ferrets.pets.example.com, non esiste una corrispondenza esatta, pertanto il bilanciamento del carico seleziona uno dei certificati A o B perché entrambi includono*.pets.example.comnell'elenco delle SAN. In questa situazione non puoi controllare quale certificato viene selezionato.
- Se il nome host SNI inviato dal client è
Dopo aver selezionato un certificato, il bilanciatore del carico lo invia al client solo se il certificato selezionato utilizza un algoritmo a chiave pubblica compatibile con una crittografia inviata dal client in
ClientHello. La negoziazione TLS non va a buon fine se il client non supporta una suite di crittografia che includa l'algoritmo della chiave pubblica (ECDSA o RSA) del certificato selezionato dal bilanciatore del carico.
Prezzi
Quando utilizzi i Google Cloud bilanciatori del carico, ti vengono addebitati costi di rete. Per ulteriori informazioni, consulta la sezione Tutti i prezzi di networking. Per i prezzi di Certificate Manager, consulta Prezzi nella documentazione di Certificate Manager. Non vengono addebitati costi aggiuntivi per l'utilizzo delle risorse dei certificati SSL di Compute Engine.
Passaggi successivi
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente