Configure o TLS autenticado no back-end

Esta página fornece instruções para configurar o TLS autenticado no back-end, também conhecido como autenticação no back-end, através da utilização de certificados autogeridos para equilibradores de carga de aplicações externos globais.

Para configurar o TLS autenticado no back-end, tem de fazer o seguinte:

• Crie um recurso de configuração de confiança que consista em certificados de raiz e intermédios.
• Crie um recurso Backend Authentication Config que faça referência à trust config.
• Anexe o recurso Backend Authentication Config ao serviço de back-end do balanceador de carga.

Antes de começar

• Reveja a vista geral do TLS autenticado no back-end e do mTLS no back-end.
• Reveja a opção Gerir configurações de confiança.

• Se quiser seguir as instruções neste guia através da CLI Google Cloud, tem de a instalar. Pode encontrar comandos relacionados com o equilíbrio de carga nas referências da API e da CLI gcloud.

  Se não tiver executado a CLI gcloud anteriormente, execute primeiro o comando gcloud init para fazer a autenticação.

• Ative as seguintes APIs: API Compute Engine, API Certificate Manager, segurança de rede e API Network Services. Para saber mais, consulte o artigo Ativar APIs.

• Configure um Application Load Balancer externo global com qualquer um dos seguintes back-ends suportados:

  • Back-ends do grupo de instâncias de VM
  • NEGs de conetividade híbrida
  • NEGs zonais

Autorizações

Vista geral da configuração

As secções seguintes descrevem os passos para configurar o TLS autenticado no back-end com base na arquitetura apresentada no diagrama seguinte:

Crie os certificados de raiz e intermédios

Esta secção usa a biblioteca OpenSSL para criar o certificado de raiz (ponto de confiança) e o certificado intermédio.

Um certificado de raiz está no topo da cadeia de certificados. Um certificado intermédio faz parte da cadeia de confiança que remete para o certificado de raiz. O certificado intermédio é assinado criptograficamente pelo certificado de raiz. Quando o equilibrador de carga recebe um certificado do servidor, valida-o estabelecendo uma cadeia de fidedignidade a partir do certificado do servidor até à âncora de fidedignidade configurada.

Use os seguintes comandos para criar os certificados raiz e intermédios.

1. Crie um ficheiro de configuração do OpenSSL.

   No exemplo seguinte, o ficheiro de configuração (example.cnf) contém a secção [ca_exts], que especifica extensões X.509 que marcam o certificado como adequado para uma AC. Para saber mais acerca dos requisitos dos certificados de raiz e intermédios, consulte os requisitos de certificados.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command-line argument.
   
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=serverAuth
   
   EOF
   

2. Crie um certificado de raiz X.509 autoassinado (root.cert). O certificado de raiz é autoassinado com a sua própria chave privada (root.key).

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Crie o pedido de assinatura de certificado (CSR) int.req para o certificado intermédio.

   openssl req -new \
       -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Assine o CSR para criar o certificado intermédio X.509 (int.cert). O CSR é assinado com o certificado de raiz.

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Formate os certificados

Para incluir certificados novos ou existentes num repositório de confiança, formate os certificados numa única linha e armazene-os em variáveis de ambiente para que possam ser referenciados pelo ficheiro YAML de configuração de confiança.

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

Crie um recurso de configuração de confiança

Uma configuração de confiança é um recurso que representa a configuração da infraestrutura de chave pública (PKI) no Gestor de certificados.

Para criar um recurso de configuração de confiança, conclua os seguintes passos:

Crie um recurso de configuração de autenticação de back-end

Para criar um recurso de configuração de autenticação de back-end (BackendAuthenticationConfig), conclua os seguintes passos.

Anexe o recurso de configuração de autenticação de back-end ao serviço de back-end do balanceador de carga

Para anexar o recurso Backend Authentication Config (BackendAuthenticationConfig) ao serviço de back-end do balanceador de carga, conclua os passos seguintes.

Crie um certificado de servidor de back-end

Esta secção oferece uma opção de configuração adicional para criar um certificado de servidor (folha) assinado pelo certificado intermédio, que faz parte da configuração de confiança. Isto garante que é possível estabelecer uma cadeia de confiança a partir do certificado do servidor até à âncora de fidedignidade.

Se já criou um recurso de configuração de confiança que contém um certificado intermédio, faça o seguinte:

1. Crie um ficheiro de configuração para gerar a CSR do certificado do servidor.

   O seguinte ficheiro de configuração (server.config) contém a secção [extension_requirements], que especifica as extensões X.509 a incluir no CSR. Para saber mais acerca dos requisitos dos certificados de servidor, consulte o artigo Requisitos de certificados.

   cat > server.config << EOF
   [req]
   default_bits              = 2048
   req_extensions            = extension_requirements
   distinguished_name        = dn_requirements
   prompt                    = no
   
   [extension_requirements]
   basicConstraints          = critical, CA:FALSE
   keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage          = serverAuth
   subjectAltName            = @alt_names
   
   [alt_names]
   DNS.1 = examplepetstore.com
   DNS.2 = api.examplepetstore.com
   
   [dn_requirements]
   countryName               = US
   stateOrProvinceName       = California
   localityName              = San Francisco
   0.organizationName        = example
   organizationalUnitName    = test
   commonName                = examplepetstore.com
   emailAddress              = test@examplepetstore.com
   
   EOF
   

2. Crie a CSR (server.csr) para o certificado do servidor.

   openssl req -new \
       -sha256 -newkey rsa:2048 -nodes \
       -config server.config \
       -keyout server.key -out server.csr
   

3. Assine o CSR para emitir o certificado do servidor X.509 (server.cert). O CSR é assinado pelo certificado intermédio.

   openssl x509 -req \
       -CAkey int.key -CA int.cert \
       -days 365 \
       -extfile server.config \
       -extensions extension_requirements \
       -in server.csr -out server.cert
   

   Quando o balanceador de carga se liga ao servidor de back-end, o servidor de back-end apresenta o respetivo certificado (server.cert) para se autenticar junto do balanceador de carga, concluindo o processo de autenticação de back-end.

Opções de configuração SSL adicionais num servidor Web Apache

1. Copie a chave privada do servidor (server.key) e o certificado do servidor (server.cert) para o servidor Web Apache.

       cat > server.key << EOF
       -----BEGIN PRIVATE KEY-----
       [...]
       -----END PRIVATE KEY-----
       EOF
   
       sudo cp ./server.key /etc/ssl/private/server.key
       

   Substitua [...] pela chave privada do servidor codificada em PEM que criou anteriormente.

       cat > server.cert << EOF
       -----BEGIN CERTIFICATE-----
       [...]
       -----END CERTIFICATE-----
       EOF
   
       sudo cp ./server.cert /etc/ssl/certs/server.cert
       

   Substitua [...] pelo certificado do servidor com codificação PEM que criou anteriormente.

2. Atualize a configuração SSL do servidor Web Apache.

   Atualize a configuração SSL do Apache para ativar o tráfego HTTPS através do certificado SSL e da chave privada especificados.

       sudo vi /etc/apache2/sites-available/default-ssl.conf
   
       ----
       SSLCertificateFile      /etc/ssl/certs/server.cert
       SSLCertificateKeyFile /etc/ssl/private/server.key
       ----
       

3. Volte a aplicar hash aos certificados da AC.

       sudo c_rehash /etc/ssl/certs/
       

4. Reinicie o servidor Web Apache para aplicar as alterações.

       sudo systemctl restart apache2.service
       

O que se segue?

• Configure o mTLS de back-end
• Vista geral do mTLS
• Configure o mTLS com uma AC privada