本页面介绍了如何创建根证书和已签名的中间证书,然后如何将这些证书上传到 Certificate Manager TrustConfig 资源。如果您要上传现有证书,请跳过创建新证书的步骤。
您还将创建为应用负载均衡器配置双向 TLS (mTLS) 所需的网络安全资源。本页面中的说明使用 OpenSSL 创建根证书和中间证书。
准备工作
- 查看双向 TLS 概览。
- 查看管理信任配置。
安装 Google Cloud CLI。如需全面了解此工具,请参阅 gcloud CLI 概览。您可以在 API 和 gcloud CLI 参考文档中找到与负载均衡相关的命令。
如果您之前未运行过 gcloud CLI,请先运行
gcloud init命令进行身份验证。启用 API:Compute Engine API、Certificate Manager API、Network Security 和 Network Services API。
如果您使用的是全球外部应用负载均衡器或传统版应用负载均衡器,请确保您已使用以下任一受支持的后端设置负载均衡器:
- 虚拟机实例组后端
- Cloud Storage 存储桶(只有在以下情况下才受支持:除后端存储桶外,至少还有一个后端服务也连接到负载均衡器)
- Cloud Run、App Engine 或 Cloud Run functions
- 混合连接
如果您使用的是区域级外部应用负载均衡器、跨区域内部应用负载均衡器或区域级内部应用负载均衡器,请确保您已设置负载均衡器,并使用以下任一受支持的后端:
- 虚拟机实例组后端
- Cloud Run
- 混合连接
设置项目。
gcloud
gcloud config set project PROJECT_ID
权限
如需获得完成本指南所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:
-
Compute Load Balancer Admin (
roles/compute.loadBalancerAdmin)(如需创建负载均衡器资源,例如TargetHTTPSProxy) -
Certificate Manager Owner (
roles/certificatemanager.owner)(如需使用证书管理器资源) -
Compute Network Admin (
roles/compute.networkAdmin) 和 Compute Security Admin (roles/compute.securityAdmin)(如需创建安全和网络组件) -
Project Creator (
roles/resourcemanager.projectCreator)(如需创建项目)(可选)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
生成密钥和签名证书
本部分使用 openssl 命令创建根证书和中间证书。
使用以下命令生成具有有效 keyUsage 和 extendedKeyUsage 字段的根证书和已签名的中间证书。
创建示例
example.cnf文件,其中包含创建有效签名证书所需的最低配置。如果您要在这些证书上设置任何其他字段,可以修改此文件。cat > example.cnf << EOF [req] distinguished_name = empty_distinguished_name [empty_distinguished_name] # Kept empty to allow setting via -subj command line arg. [ca_exts] basicConstraints=critical,CA:TRUE keyUsage=keyCertSign extendedKeyUsage=clientAuth EOF创建根证书。
openssl req -x509 \ -new -sha256 -newkey rsa:2048 -nodes \ -days 3650 -subj '/CN=root' \ -config example.cnf \ -extensions ca_exts \ -keyout root.key -out root.cert为中间证书创建签名请求。
openssl req \ -new -sha256 -newkey rsa:2048 -nodes \ -subj '/CN=int' \ -config example.cnf \ -extensions ca_exts \ -keyout int.key -out int.req创建中间证书。
openssl x509 -req \ -CAkey root.key -CA root.cert \ -set_serial 1 \ -days 3650 \ -extfile example.cnf \ -extensions ca_exts \ -in int.req -out int.cert
生成证书并将其添加到许可名单中
本部分使用 openssl 命令创建示例证书,并将其添加到许可名单中。
请使用以下命令生成证书并将其添加到许可名单中。
openssl req -x509 \
-new -sha256 -newkey rsa:2048 -nodes \
-days 3650 -subj '/CN=localhost' \
-keyout allowlisted.key -out allowlisted.cert
设置证书格式
如需在 TrustStore 中包括新证书或现有证书,请将证书格式设置为单行并将它们存储在环境变量中,以便证书可以读入 YAML 文件中。请使用以下命令设置证书格式并将其存储在环境变量中:
export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
如需在信任配置中添加已列入许可名单的新证书或现有证书,请将证书格式设置为单行并将它们存储在环境变量中,以便证书可以读入 YAML 文件中。对于已列入许可名单的证书,请使用以下命令将证书格式化为单行,并将其存储在 ALLOWLISTED_CERT 环境变量中。
export ALLOWLISTED_CERT=$(cat allowlisted.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
创建 TrustConfig 资源
创建代表 PKI 的证书管理器 TrustConfig 资源。此示例 TrustConfig 资源包含一个受信任证书存储区,其中有两个信任锚和两个中间 CA 证书。它会从上一步设置证书格式中创建的环境变量读取证书内容。
如需创建包含其他信任锚或中间 CA 证书的信任库,请在相应的部分中添加 pemCertificate 行。如果信任锚或中间 CA 证书较少,请移除不需要的行。
此示例 TrustConfig 资源包含已添加到许可名单中的证书。您可以使用 pemCertificate 字段的多个实例在许可名单中指定多个证书。
在以下步骤中,将 TRUST_CONFIG_NAME 替换为 TrustConfig 资源的名称:
如需创建包含受信任证书存储区的
trust_config.yaml文件,请使用以下命令:cat << EOF > trust_config.yaml trustStores: - trustAnchors: - pemCertificate: "${ROOT_CERT?}" - pemCertificate: "${ROOT_CERT_2?}" intermediateCas: - pemCertificate: "${INTERMEDIATE_CERT?}" - pemCertificate: "${INTERMEDIATE_CERT_2?}" EOF可选:如需创建包含已添加到许可名单的证书的
trust_config.yaml文件,请使用以下命令:cat << EOF >> trust_config.yaml allowlistedCertificates: - pemCertificate: "${ALLOWLISTED_CERT?}" EOF如需创建 Certificate Manager
TrustConfig资源,请使用gcloud certificate-manager trust-configs import命令:全局
对于外部应用负载均衡器和跨区域内部应用负载均衡器,请使用以下命令:
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME \ --source=trust_config.yaml
区域级
对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请使用以下命令:
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME \ --source=trust_config.yaml \ --location=REGION
创建客户端身份验证资源
借助客户端身份验证(也称为 ServerTLSPolicy)资源,您可以指定在验证客户端证书时使用的服务器端 TLS 模式和 TrustConfig 资源。当客户端向负载均衡器提供无效证书或没有证书时,clientValidationMode 指定客户端连接的处理方式。
如需了解详情,请参阅 MTLS 客户端验证模式。
- 当
clientValidationMode设置为ALLOW_INVALID_OR_MISSING_CLIENT_CERT时,即使验证失败或缺少客户端证书,所有请求都会传递给后端。 - 当
clientValidationMode设置为REJECT_INVALID时,只有提供能够针对TrustConfig资源进行验证的客户端证书的请求才会传递给后端。
如需创建 ServerTLSPolicy 资源,请完成以下步骤:
根据您希望处理连接的方式,选择以下选项之一。
在以下步骤中,将
SERVER_TLS_POLICY_NAME替换为服务器 TLS 政策的名称,并将PROJECT_ID替换为您的 Google Cloud 项目的 ID。方法 1:
clientValidationMode设置为ALLOW_INVALID_OR_MISSING_CLIENT_CERT。要创建
server_tls_policy.yaml文件,请使用以下命令:全局
对于外部应用负载均衡器和跨区域内部应用负载均衡器,请使用以下命令:
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
区域级
对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请使用以下命令:
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
方法 2:将
clientValidationMode设置为REJECT_INVALID。要创建
server_tls_policy.yaml文件,请使用以下命令:全局
对于外部应用负载均衡器和跨区域内部应用负载均衡器,请使用以下命令:
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
区域级
对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请使用以下命令:
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
如需创建
ServerTlsPolicy资源,请使用gcloud network-security server-tls-policies import命令:全局
对于外部应用负载均衡器和跨区域内部应用负载均衡器,请使用以下命令:
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \ --source=server_tls_policy.yaml \ --location=global
区域级
对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请使用以下命令:
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \ --source=server_tls_policy.yaml \ --location=REGION
可选:列出当前项目指定位置中的所有客户端身份验证 (
ServerTlsPolicies) 资源。控制台
在 Google Cloud 控制台中,进入客户端身份验证页面。
系统会显示所有
ServerTlsPolicies资源。
gcloud
如需列出所有客户端身份验证 (
ServerTlsPolicies) 资源,请使用gcloud network-security server-tls-policies list命令:gcloud network-security server-tls-policies list \ --location=REGION
替换以下内容:
REGION:将global用于跨区域内部应用负载均衡器、全球外部应用负载均衡器或传统应用负载均衡器。对于区域级外部应用负载均衡器或区域级内部应用负载均衡器,请使用您在其中配置了负载均衡器的区域。
为负载均衡器设置 mTLS
要使双向 TLS 身份验证正常运行,在设置负载均衡器后,您需要使用 ServerTLSPolicy 资源更新目标 HTTPS 代理。
确保您已创建客户端身份验证 (
ServerTLSPolicy) 资源。如需了解相关说明,请参阅创建客户端身份验证资源。如需列出项目中的所有目标 HTTPS 代理,请使用
gcloud compute target-https-proxies list命令:gcloud compute target-https-proxies list
记下目标 HTTPS 代理的名称,用于附加
ServerTLSPolicy资源。此名称在后面的步骤中称为TARGET_HTTPS_PROXY_NAME。如需将目标 HTTPS 代理的配置导出到文件,请使用
gcloud compute target-https-proxies export命令:全局
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --global替换以下内容:
TARGET_HTTPS_PROXY_NAME:目标代理的名称。TARGET_PROXY_FILENAME:YAML 文件的名称。例如mtls_target_proxy.yaml。
区域级
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --region=REGION替换以下内容:
TARGET_HTTPS_PROXY_NAME:目标代理的名称。TARGET_PROXY_FILENAME:YAML 文件的名称。例如mtls_target_proxy.yamlREGION:您在其中配置了负载均衡器的区域。
列出当前项目指定位置中的所有
ServerTlsPolicies资源。控制台
在 Google Cloud 控制台中,进入客户端身份验证页面。
系统会显示所有
ServerTlsPolicies资源。
gcloud
如需列出所有客户端身份验证 (
ServerTlsPolicies) 资源,请使用gcloud network-security server-tls-policies list命令:gcloud network-security server-tls-policies list \ --location=REGION
替换以下内容:
REGION:将global用于跨区域内部应用负载均衡器、全球外部应用负载均衡器或传统应用负载均衡器。对于区域级外部应用负载均衡器或区域级内部应用负载均衡器,请使用您在其中配置了负载均衡器的区域。记下
ServerTlsPolicies资源的名称,用于配置 mTLS。此名称在下一步中称为SERVER_TLS_POLICY_NAME。如需附加
ServerTlsPolicy资源文件TARGET_PROXY_FILENAME,请使用以下命令。将PROJECT_ID替换为您的 Google Cloud 项目的 ID。echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/REGION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME
如需从文件导入目标 HTTPS 代理的配置,请使用
gcloud compute target-https-proxies import命令。全局
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --global替换以下内容:
TARGET_HTTPS_PROXY_NAME:目标代理的名称。TARGET_PROXY_FILENAME:YAML 文件的名称。例如mtls_target_proxy.yaml。
区域级
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --region=REGION替换以下内容:
TARGET_HTTPS_PROXY_NAME:目标代理的名称。TARGET_PROXY_FILENAME:YAML 文件的名称。例如mtls_target_proxy.yamlREGION:您在其中配置了负载均衡器的区域。
添加 mTLS 自定义标头
启用 mTLS 后,您可以使用自定义标头传递 mTLS 连接相关的信息。您还可以启用日志记录,以便在日志中捕获 mTLS 连接失败。
向后端服务添加 mTLS 自定义标头
对于全球外部应用负载均衡器或传统版应用负载均衡器,您可以使用 自定义标头将 mTLS 连接的相关信息传递给后端服务。
如需列出项目中的所有后端服务,请使用
gcloud compute backend-services list命令:gcloud compute backend-services list
记下后端服务的名称,用于启用自定义标头和日志记录。此名称在后面的步骤中称为
BACKEND_SERVICE。如需更新后端服务,请使用
gcloud compute backend-services update命令:gcloud compute backend-services update BACKEND_SERVICE \ --global \ --enable-logging \ --logging-sample-rate=1 \ --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \ --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \ --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \ --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \ --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \ --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \ --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \ --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \ --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \ --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'
将 mTLS 自定义标头添加到网址映射
对于跨区域内部应用负载均衡器、区域级外部应用负载均衡器或区域级内部应用负载均衡器,您可以使用 自定义标头将有关 mTLS 连接的信息传递给网址映射。
如需列出项目中的所有网址映射,请使用 gcloud compute url-maps list 命令:
gcloud compute url-maps list
记下网址映射的名称,以便启用自定义标头和日志记录。此名称在后面的步骤中称为 URL_MAP_NAME。
全局
如需修改跨区域内部应用负载均衡器的网址映射,请使用 gcloud compute
url-maps edit 命令:
gcloud compute url-maps edit URL_MAP_NAME --global
以下示例 YAML 文件展示了如何在自定义请求标头 (requestHeadersToAdd) 中使用变量。您可以使用相同的变量发送自定义响应标头 (responseHeadersToAdd)。
headerAction:
requestHeadersToAdd:
- headerName: "X-Client-Cert-Present"
headerValue: "{client_cert_present}"
- headerName: "X-Client-Cert-Chain-Verified"
headerValue: "{client_cert_chain_verified}"
- headerName: "X-Client-Cert-Error"
headerValue: "{client_cert_error}"
- headerName: "X-Client-Cert-Hash"
headerValue: "{client_cert_sha256_fingerprint}"
- headerName: "X-Client-Cert-Serial-Number"
headerValue: "{client_cert_serial_number}"
- headerName: "X-Client-Cert-SPIFFE"
headerValue: "{client_cert_spiffe_id}"
- headerName: "X-Client-Cert-URI-SANs"
headerValue: "{client_cert_uri_sans}"
- headerName: "X-Client-Cert-DNSName-SANs"
headerValue: "{client_cert_dnsname_sans}"
- headerName: "X-Client-Cert-Valid-Not-Before"
headerValue: "{client_cert_valid_not_before}"
- headerName: "X-Client-Cert-Valid-Not-After"
headerValue: "{client_cert_valid_not_after}"
- headerName: "X-Client-Cert-Issuer-Dn"
headerValue: "{client_cert_issuer_dn}"
- headerName: "X-Client-Cert-Subject-Dn"
headerValue: "{client_cert_subject_dn}"
- headerName: "X-Client-Cert-Leaf"
headerValue: "{client_cert_leaf}"
- headerName: "X-Client-Cert-Chain"
headerValue: "{client_cert_chain}"
区域级
如需修改区域级外部应用负载均衡器或区域级内部应用负载均衡器的网址映射,请使用 gcloud compute
url-maps edit 命令:
gcloud compute url-maps edit URL_MAP_NAME --region=REGION
以下示例 YAML 文件展示了如何在自定义请求标头 (requestHeadersToAdd) 中使用变量。您可以使用相同的变量发送自定义响应标头 (responseHeadersToAdd)。
defaultService: regions/REGION/backendServices/BACKEND_SERVICE_1
name: regional-lb-map
region: region/REGION
headerAction:
requestHeadersToAdd:
- headerName: "X-Client-Cert-Present"
headerValue: "{client_cert_present}"
- headerName: "X-Client-Cert-Chain-Verified"
headerValue: "{client_cert_chain_verified}"
- headerName: "X-Client-Cert-Error"
headerValue: "{client_cert_error}"
- headerName: "X-Client-Cert-Hash"
headerValue: "{client_cert_sha256_fingerprint}"
- headerName: "X-Client-Cert-Serial-Number"
headerValue: "{client_cert_serial_number}"
- headerName: "X-Client-Cert-SPIFFE"
headerValue: "{client_cert_spiffe_id}"
- headerName: "X-Client-Cert-URI-SANs"
headerValue: "{client_cert_uri_sans}"
- headerName: "X-Client-Cert-DNSName-SANs"
headerValue: "{client_cert_dnsname_sans}"
- headerName: "X-Client-Cert-Valid-Not-Before"
headerValue: "{client_cert_valid_not_before}"
- headerName: "X-Client-Cert-Valid-Not-After"
headerValue: "{client_cert_valid_not_after}"
- headerName: "X-Client-Cert-Issuer-Dn"
headerValue: "{client_cert_issuer_dn}"
- headerName: "X-Client-Cert-Subject-Dn"
headerValue: "{client_cert_subject_dn}"
- headerName: "X-Client-Cert-Leaf"
headerValue: "{client_cert_leaf}"
- headerName: "X-Client-Cert-Chain"
headerValue: "{client_cert_chain}"
使用中间证书对客户端密钥进行签名
本部分提供了用于生成叶证书的其他配置选项。如果您已使用中间证书(int.cert 和 int.key)创建了 TrustConfig 资源,请按照以下说明进行操作:
创建客户端密钥配置文件。
cat > client.config << EOF [req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = critical, CA:FALSE keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = clientAuth [dn_requirements] countryName = US stateOrProvinceName = California localityName = San Francisco 0.organizationName = example organizationalUnitName = test commonName = test.example.com emailAddress = test@example.com EOF如果您要附加 SPIFFE 身份:
向
[extension_requirements]部分添加subjectAltName,如下所示:subjectAltName = @sans_list
在
client.config文件底部添加一个新部分,其中包含以下内容:[sans_list] URI.1 = spiffe://example.com/test-identity
对密钥进行签名。
openssl req -new -keyout client.key -out client.csr -config client.config openssl x509 -req -in client.csr -out client.cert -extfile client.config -extensions extension_requirements -days 365 -CA int.cert -CAkey int.key如需进行测试,请向负载均衡器的 IP 地址发送
curl请求。curl -v -k --key client.key --cert client.cert https://IP_ADDRESS
将 IP_ADDRESS 替换为负载均衡器的 IP 地址。