Menyiapkan TLS yang diautentikasi backend

Halaman ini memberikan petunjuk untuk menyiapkan TLS yang diautentikasi backend, yang juga dikenal sebagai autentikasi backend, dengan menggunakan sertifikat yang dikelola sendiri untuk Load Balancer Aplikasi eksternal global.

Untuk mengonfigurasi TLS yang diautentikasi backend, Anda perlu melakukan hal berikut:

  • Buat resource konfigurasi kepercayaan yang terdiri dari root certificate dan intermediate certificate.
  • Buat resource Konfigurasi Autentikasi Backend yang mereferensikan konfigurasi kepercayaan.
  • Lampirkan resource Konfigurasi Autentikasi Backend ke layanan backend load balancer.

Sebelum memulai

Izin

Bagian ini mencantumkan izin yang diperlukan untuk mengonfigurasi TLS autentikasi backend.
Operasi Izin
Membuat konfigurasi kepercayaan certificatemanager.trustconfigs.create di project Google Cloud target
Membuat resource Konfigurasi Autentikasi Backend
  • certificatemanager.certs.use pada sertifikat target
  • certificatemanager.trustconfigs.use pada konfigurasi kepercayaan target
  • networksecurity.backendauthenticationconfigs.create di project Google Cloud target
    		•
    Melampirkan resource Konfigurasi Autentikasi Backend ke layanan backend load balancer
  • compute.backendservice.update pada layanan backend target
  • networksecurity.backendauthenticationconfigs.use pada resource Konfigurasi Autentikasi Backend target
    		•

    Ringkasan penyiapan

    Bagian berikut menjelaskan langkah-langkah untuk mengonfigurasi TLS autentikasi backend berdasarkan arsitektur yang ditampilkan dalam diagram berikut:

    Komponen TLS yang diautentikasi backend.
    Komponen TLS yang diautentikasi backend (klik untuk memperbesar).

    Membuat root certificate dan intermediate certificate

    Bagian ini menggunakan library OpenSSL untuk membuat root certificate (trust anchor) dan intermediate certificate.

    Root certificate berada di bagian atas rantai sertifikat. Sertifikat perantara adalah bagian dari rantai kepercayaan kembali ke root certificate. Sertifikat intermediate ditandatangani secara kriptografis oleh root certificate. Saat load balancer menerima sertifikat server, load balancer akan memvalidasinya dengan membuat rantai kepercayaan dari sertifikat server kembali ke anchor kepercayaan yang dikonfigurasi.

    Gunakan perintah berikut untuk membuat root dan intermediate certificate.

    1. Buat file konfigurasi OpenSSL.

      Dalam contoh berikut, file konfigurasi (example.cnf) berisi bagian [ca_exts], yang menentukan ekstensi X.509 yang menandai sertifikat sebagai cocok untuk CA. Untuk mempelajari lebih lanjut persyaratan sertifikat root dan intermediate, lihat Persyaratan sertifikat.

      cat > example.cnf << EOF
[req]
distinguished_name = empty_distinguished_name

[empty_distinguished_name]
# Kept empty to allow setting via -subj command-line argument.

[ca_exts]
basicConstraints=critical,CA:TRUE
keyUsage=keyCertSign
extendedKeyUsage=serverAuth

EOF

    2. Buat root certificate X.509 yang ditandatangani sendiri (root.cert). Root certificate ditandatangani sendiri dengan kunci pribadinya sendiri (root.key).

      openssl req -x509 \
    -new -sha256 -newkey rsa:2048 -nodes \
    -days 3650 -subj '/CN=root' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout root.key -out root.cert

    3. Buat permintaan penandatanganan sertifikat (CSR) int.req untuk sertifikat perantara.

      openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -subj '/CN=int' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout int.key -out int.req

    4. Tanda tangani CSR untuk membuat sertifikat perantara X.509 (int.cert). CSR ditandatangani menggunakan sertifikat root.

      openssl x509 -req \
    -CAkey root.key -CA root.cert \
    -set_serial 1 \
    -days 3650 \
    -extfile example.cnf \
    -extensions ca_exts \
    -in int.req -out int.cert

    Memformat sertifikat

    Untuk menyertakan sertifikat baru atau yang sudah ada di penyimpanan kepercayaan, format sertifikat menjadi satu baris dan simpan dalam variabel lingkungan sehingga dapat direferensikan oleh file YAML konfigurasi kepercayaan.

    export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

    export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

    Membuat resource konfigurasi kepercayaan

    Konfigurasi kepercayaan adalah resource yang mewakili konfigurasi infrastruktur kunci publik (PKI) di Pengelola Sertifikat.

    Untuk membuat resource konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

    Konsol

    1. Di konsol Google Cloud, buka halaman Certificate Manager.

      Buka Certificate Manager

    2. Di tab Trust Configs, klik Add Trust Config.

    3. Masukkan nama untuk konfigurasi.

    4. Untuk Location, pilih Global. Lokasi menunjukkan tempat resource konfigurasi kepercayaan disimpan. Untuk Load Balancer Aplikasi eksternal global, Anda perlu membuat resource konfigurasi kepercayaan global.

    5. Di bagian Trust store, klik Add trust anchor dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat.

    6. Klik Tambahkan.

    7. Di bagian Trust store, klik Add intermediate CA dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Langkah ini memungkinkan Anda menambahkan tingkat kepercayaan lain antara root certificate dan sertifikat server Anda.

    8. Klik Tambahkan untuk menambahkan CA perantara.

    9. Untuk menambahkan sertifikat yang Anda tambahkan ke daftar yang diizinkan, klik Tambahkan.

    10. Klik Buat.

    Pastikan resource konfigurasi kepercayaan baru muncul dalam daftar konfigurasi.

    gcloud

    1. Buat file YAML konfigurasi kepercayaan (trust_config.yaml) yang menentukan parameter konfigurasi kepercayaan. Contoh resource konfigurasi trust ini berisi trust store dengan trust anchor dan sertifikat perantara. Contoh resource konfigurasi kepercayaan ini membaca konten sertifikat dari variabel lingkungan yang dibuat di langkah Memformat sertifikat sebelumnya.

      cat << EOF > trust_config.yaml
trustStores:
- trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

      Untuk membuat trust store dengan anchor kepercayaan atau sertifikat intermediate tambahan, tambahkan baris pemCertificate di bagian yang sesuai.

    2. Untuk mengimpor file YAML konfigurasi kepercayaan, gunakan perintah gcloud certificate-manager trust-configs import:

      Untuk Load Balancer Aplikasi eksternal global, tentukan global sebagai lokasi tempat resource konfigurasi kepercayaan disimpan.

      gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global

      Ganti kode berikut:

      • TRUST_CONFIG_NAME: nama resource konfigurasi kepercayaan

    Membuat resource Konfigurasi Autentikasi Backend

    Untuk membuat resource Konfigurasi Autentikasi Backend (BackendAuthenticationConfig), selesaikan langkah-langkah berikut.

    Konsol

    1. Di konsol Google Cloud, buka halaman Authentication Configuration.

      Buka Authentication Configuration

    2. Di tab Backend Authentication, klik Create.
    3. Masukkan nama untuk resource Konfigurasi Autentikasi Backend.
    4. Opsional: Pilih root of trust publik.
    5. Pilih resource konfigurasi kepercayaan yang Anda buat sebelumnya.
    6. Klik Buat.

    Pastikan resource Backend Authentication Config ditampilkan.

    gcloud

    1. Buat file YAML yang secara deklaratif menentukan berbagai atribut resource Backend Authentication Config.

      cat << EOF > BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml
name: projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
trustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
wellKnownRoots: PUBLIC_ROOTS
EOF

      Ganti kode berikut:

      • BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME : nama file YAML tempat resource Konfigurasi Autentikasi Backend ditentukan.
      • PROJECT_ID: ID project Google Cloud Anda
      • BACKEND_AUTH_CONFIG_NAME: nama resource Konfigurasi Autentikasi Backend
      • TRUST_CONFIG_NAME: nama resource konfigurasi kepercayaan yang Anda buat sebelumnya.

    2. Untuk mengimpor resource Konfigurasi Autentikasi Backend, gunakan perintah gcloud beta network-security backend-authentication-configs import:

      gcloud beta network-security backend-authentication-configs import BACKEND_AUTH_CONFIG_NAME \
   --source=BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml \
   --location=global

      Ganti kode berikut:

      • BACKEND_AUTH_CONFIG_NAME: nama resource Konfigurasi Autentikasi Backend

      • BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: nama file YAML tempat resource Konfigurasi Autentikasi Backend ditentukan.

    Melampirkan resource Konfigurasi Autentikasi Backend ke layanan backend load balancer

    Untuk melampirkan resource Konfigurasi Autentikasi Backend (BackendAuthenticationConfig) ke layanan backend load balancer, selesaikan langkah-langkah berikut.

    Konsol

    1. Di konsol Google Cloud, buka halaman Load balancing.

      Buka Load balancing

    2. Di tab Backends, pilih layanan backend yang memerlukan TLS backend yang diautentikasi dan mTLS backend.

    3. Klik Edit.

    4. Luaskan bagian Advanced configurations.

    5. Di bagian Backend authentication, centang kotak Enable.

    6. Opsional: Tentukan nama host SNI dan SAN yang diterima untuk memvalidasi sertifikat backend.

    7. Untuk melampirkan resource Backend Authentication Config ke layanan backend, dalam daftar Backend Authentication Config, pilih resource Backend Authentication Config.

    8. Klik Lanjutkan.

    9. Untuk memperbarui setelan layanan backend, klik Update.

    gcloud

    1. Untuk mencantumkan semua resource layanan backend dalam project Anda, gunakan perintah gcloud compute backend-services list.

      gcloud compute backend-services list

      Catat nama layanan backend yang akan dilampirkan resource BackendAuthenticationConfig. Nama ini disebut sebagai BACKEND_SERVICE_NAME dalam langkah-langkah berikut.

    2. Untuk mengekspor konfigurasi layanan backend ke file, gunakan perintah gcloud beta compute backend-services export.

      gcloud beta compute backend-services export BACKEND_SERVICE_NAME \
    --destination=BACKEND_SERVICE_FILENAME.yaml \
    --global

      Ganti kode berikut:

      • BACKEND_SERVICE_NAME: nama layanan backend
      • BACKEND_SERVICE_FILENAME: nama dan jalur ke file YAML tempat konfigurasi layanan backend diekspor

    3. Perbarui atribut tlsSettings layanan backend, dengan mengarahkannya ke resource Backend Authentication Config. Selain itu, Anda dapat mengonfigurasi nama host SNI dan SAN yang diterima di layanan backend untuk memvalidasi sertifikat backend.

        cat << EOF >> BACKEND_SERVICE_FILENAME.yaml
  tlsSettings:
    authenticationConfig: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
    sni: examplepetstore.com
    subjectAltNames:
    - dnsName: examplepetstore.com
    - dnsName: api.examplepetstore.com
  EOF

      Nilai SNI dan SAN dalam deklarasi YAML sebelumnya hanya dimaksudkan sebagai contoh. Anda dapat menggantinya dengan nilai dunia nyata yang relevan dengan penyiapan Anda.

      Ganti kode berikut:

      • BACKEND_SERVICE_FILENAME: nama file YAML tempat konfigurasi layanan backend diekspor

      • PROJECT_ID: ID project Google Cloud Anda

      • BACKEND_AUTH_CONFIG_NAME: nama resource Konfigurasi Autentikasi Backend

    4. Untuk mengimpor konfigurasi layanan backend yang diperbarui dari file, gunakan perintah gcloud beta compute backend-services import.

      gcloud beta compute backend-services import BACKEND_SERVICE_NAME \
    --source=BACKEND_SERVICE_FILENAME.yaml \
    --global

      Ganti kode berikut:

      • BACKEND_SERVICE_NAME: nama layanan backend
      • BACKEND_SERVICE_FILENAME: nama file YAML konfigurasi layanan backend

    Membuat sertifikat server backend

    Bagian ini menyediakan opsi konfigurasi tambahan untuk membuat sertifikat server (daun) yang ditandatangani oleh sertifikat perantara, yang merupakan bagian dari konfigurasi kepercayaan. Hal ini memastikan bahwa rantai kepercayaan dapat dibuat dari sertifikat server kembali ke anchor kepercayaan.

    Jika Anda telah membuat resource konfigurasi kepercayaan yang berisi sertifikat perantara, lakukan hal berikut:

    1. Buat file konfigurasi untuk membuat CSR untuk sertifikat server.

      File konfigurasi berikut (server.config) berisi bagian [extension_requirements], yang menentukan ekstensi X.509 yang akan disertakan dalam CSR. Untuk mempelajari persyaratan sertifikat server lebih lanjut, lihat Persyaratan sertifikat.

      cat > server.config << EOF
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = critical, CA:FALSE
keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage          = serverAuth
subjectAltName            = @alt_names

[alt_names]
DNS.1 = examplepetstore.com
DNS.2 = api.examplepetstore.com

[dn_requirements]
countryName               = US
stateOrProvinceName       = California
localityName              = San Francisco
0.organizationName        = example
organizationalUnitName    = test
commonName                = examplepetstore.com
emailAddress              = test@examplepetstore.com

EOF

    2. Buat CSR (server.csr) untuk sertifikat server.

      openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -config server.config \
    -keyout server.key -out server.csr

    3. Tanda tangani CSR untuk menerbitkan sertifikat server X.509 (server.cert). CSR ditandatangani oleh sertifikat perantara.

      openssl x509 -req \
    -CAkey int.key -CA int.cert \
    -days 365 \
    -extfile server.config \
    -extensions extension_requirements \
    -in server.csr -out server.cert

      Saat load balancer terhubung ke server backend, server backend akan menampilkan sertifikatnya (server.cert) untuk mengautentikasi dirinya ke load balancer, sehingga menyelesaikan proses autentikasi backend.

    Opsi konfigurasi SSL tambahan di server web Apache

    Bagian opsional ini akan memandu Anda melalui proses untuk memperbarui opsi konfigurasi SSL di server Apache berdasarkan sertifikat server yang Anda buat sebelumnya.

    1. Salin kunci pribadi server (server.key) dan sertifikat server (server.cert) ke server web Apache.

          cat > server.key << EOF
    -----BEGIN PRIVATE KEY-----
    [...]
    -----END PRIVATE KEY-----
    EOF

    sudo cp ./server.key /etc/ssl/private/server.key

      Ganti [...] dengan kunci pribadi server berenkode PEM yang Anda buat sebelumnya.

          cat > server.cert << EOF
    -----BEGIN CERTIFICATE-----
    [...]
    -----END CERTIFICATE-----
    EOF

    sudo cp ./server.cert /etc/ssl/certs/server.cert

      Ganti [...] dengan sertifikat server yang dienkode PEM yang Anda buat sebelumnya.

    2. Perbarui konfigurasi SSL server web Apache.

      Perbarui konfigurasi SSL Apache untuk mengaktifkan traffic HTTPS menggunakan sertifikat SSL dan kunci pribadi yang ditentukan.

          sudo vi /etc/apache2/sites-available/default-ssl.conf

    ----
    SSLCertificateFile      /etc/ssl/certs/server.cert
    SSLCertificateKeyFile /etc/ssl/private/server.key
    ----

    3. Buat ulang hash sertifikat CA.

          sudo c_rehash /etc/ssl/certs/

    4. Mulai ulang server web Apache untuk menerapkan perubahan.

          sudo systemctl restart apache2.service

    Langkah berikutnya