Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare TLS reciproco con certificati forniti dall'utente

Questa pagina fornisce istruzioni per creare un certificato radice e un certificato intermedio firmato, quindi per caricarli in una risorsa di Gestore dei certificati TrustConfig. Se hai già dei certificati da caricare, salta i passaggi per la creazione di nuovi certificati.

Inoltre, crei le risorse di sicurezza di rete necessarie per configurare il TLS mutuale (mTLS) per gli Application Load Balancer. Le istruzioni utilizzano OpenSSL per creare i certificati radice e intermedi.

Prima di iniziare

Consulta la panoramica di Mutual TLS.
Consulta la sezione Gestire le configurazioni di attendibilità.
Installa Google Cloud CLI. Per una panoramica completa dello strumento, consulta la panoramica dell'interfaccia a riga di comando gcloud. Puoi trovare i comandi relativi al bilanciamento del carico nel riferimento all'API e a gcloud CLI.

Se non hai mai eseguito l'interfaccia alla gcloud CLI, esegui prima il comando gcloud init per autenticarti.
Abilita le API: API Compute Engine, API Certificate Manager, Network Security e API Network Services.
Se utilizzi un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico, assicurati di aver configurato un bilanciatore del carico con uno dei seguenti backend supportati:
- Backend di gruppi di istanze VM
- Bucket Cloud Storage (supportato solo se al bilanciatore del carico è collegato anche almeno un servizio di backend, oltre al bucket di backend)
- Funzioni Cloud Run, App Engine o Cloud Functions
- Connettività ibrida
Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale, un bilanciatore del carico delle applicazioni interno tra regioni o un bilanciatore del carico delle applicazioni interno regionale, assicurati di aver configurato un bilanciatore del carico con uno dei seguenti backend supportati:
- Backend di gruppi di istanze VM
- Cloud Run
- Connettività ibrida
Configura il progetto.
gcloud
```
gcloud config set project PROJECT_ID
```

Autorizzazioni

Per ottenere le autorizzazioni necessarie per completare questa guida, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

Per creare risorse di bilanciatori del carico come TargetHTTPSProxy: Amministratore bilanciatore del carico Compute (roles/compute.loadBalancerAdmin)
Per utilizzare le risorse di Gestore certificati: Proprietario Gestore certificati (roles/certificatemanager.owner)
Per creare componenti di sicurezza e di rete: Compute Network Admin (roles/compute.networkAdmin) e Compute Security Admin (roles/compute.securityAdmin)
Per creare un progetto (facoltativo): Project Creator (roles/resourcemanager.projectCreator)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Genera una chiave e certificati firmati

Questa sezione utilizza i comandi openssl per creare certificati radice e intermediari.

Utilizza i comandi riportati di seguito per generare un certificato radice e un certificato intermedio firmato con campi keyUsage e extendedKeyUsage validi.

Crea un file example.cnf di esempio con la configurazione minima richiesta per creare certificati di firma validi. Puoi modificare questo file se vuoi impostare eventuali campi aggiuntivi su questi certificati.

cat > example.cnf << EOF
[req]
distinguished_name = empty_distinguished_name
[empty_distinguished_name]
# Kept empty to allow setting via -subj command line arg.
[ca_exts]
basicConstraints=critical,CA:TRUE
keyUsage=keyCertSign
extendedKeyUsage=clientAuth
EOF

Crea il certificato radice.

openssl req -x509 \
    -new -sha256 -newkey rsa:2048 -nodes \
    -days 3650 -subj '/CN=root' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout root.key -out root.cert

Crea la richiesta di firma per il certificato intermedio.

openssl req \
    -new -sha256 -newkey rsa:2048 -nodes \
    -subj '/CN=int' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout int.key -out int.req

Crea il certificato intermedio.

openssl x509 -req \
    -CAkey root.key -CA root.cert \
    -set_serial 1 \
    -days 3650 \
    -extfile example.cnf \
    -extensions ca_exts \
    -in int.req -out int.cert

Genera un certificato e aggiungilo a una lista consentita

Questa sezione utilizza i comandi openssl per creare un certificato di esempio e aggiungerlo a una lista consentita.

Utilizza i comandi seguenti per generare un certificato e aggiungerlo a una lista consentita.

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=localhost' \
       -keyout allowlisted.key -out allowlisted.cert

Formatta i certificati

Per includere certificati nuovi o esistenti in un TrustStore, formattali in un'unica riga e memorizzali in variabili di ambiente, in modo che possano essere letti nel file YAML. Utilizza i seguenti comandi per formattare i certificati e archiviarli nelle variabili di ambiente:

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

Per includere certificati nuovi o esistenti aggiunti a una lista consentita in una configurazione di attendibilità, formattali in una singola riga e memorizzali in variabili di ambiente, in modo che possano essere letti nel file YAML. Per i certificati inclusi in una lista consentita, utilizza il seguente comando per formattarli in una singola riga e archiviarli nella variabile di ambiente ALLOWLISTED_CERT.

export ALLOWLISTED_CERT=$(cat allowlisted.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

Crea una risorsa di configurazione della attendibilità

Una configurazione di attendibilità è una risorsa che rappresenta la configurazione dell'infrastruttura a chiave pubblica (PKI) in Gestore certificati.

Per creare una risorsa di configurazione della attendibilità, completa i seguenti passaggi:

Console

Nella console Google Cloud, vai alla pagina Gestione certificati.

Vai a Gestore certificati
Nella scheda Trust Configs (Configurazioni attendibilità), fai clic su Add Trust Config (Aggiungi configurazione attendibilità).
Inserisci un nome per la configurazione.
Per Località, seleziona Globale o Regionale.

La posizione indica dove è archiviata la risorsa di configurazione della attendibilità. Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, crea una risorsa trust configurata globale. Per i bilanciatori del carico delle applicazioni esterni regionali e per i bilanciatori del carico delle applicazioni interni regionali, crea una risorsa di configurazione della attendibilità regionale.

Se hai selezionato Regionale, seleziona la regione.
Nella sezione Archivio attendibilità, fai clic su Aggiungi 'Autorità di certificazione attendibile' e carica il file del certificato con codifica PEM o copia i contenuti del certificato.
Fai clic su Aggiungi.
Nella sezione Magazzino attendibile, fai clic su Aggiungi CA intermedia e carica il file del certificato con codifica PEM o copia i contenuti del certificato.

Questo passaggio ti consente di aggiungere un altro livello di attendibilità tra il certificato radice e il certificato del server.
Fai clic su Aggiungi per aggiungere la CA intermedia.
(Facoltativo) Nella sezione Certificati nella lista consentita, fai clic su Aggiungi certificato e carica il file del certificato con codifica PEM o copia i contenuti del certificato.
Fai clic su Aggiungi per aggiungere il certificato inserito nella lista consentita.
Fai clic su Crea.

Verifica che la nuova risorsa di configurazione della attendibilità sia presente nell'elenco delle configurazioni.

gcloud

Crea un file YAML di configurazione della attendibilità (trust_config.yaml) che specifichi i parametri di configurazione della attendibilità. Questa risorsa di configurazione della attendibilità di esempio contiene un archivio attendibilità con un trust anchor e un certificato intermedio. Legge i contenuti del certificato dalle variabili di ambiente create nel passaggio precedente Formatta i certificati.
```
cat << EOF > trust_config.yaml
trustStores:
- trustAnchors:
  - pemCertificate: "${ROOT_CERT?}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT?}"
EOF
```
Per creare un trust store con trust anchor o certificati intermedi aggiuntivi, aggiungi pemCertificate righe nella sezione appropriata.
(Facoltativo) Specifica il certificato aggiunto al file YAML della configurazione della attendibilità nel campo allowlistedCertificates. Non è necessario un magazzino attendibile per aggiungere un certificato a una lista consentita.
```
cat << EOF >> trust_config.yaml
allowlistedCertificates:
- pemCertificate: "${ALLOWLISTED_CERT?}"
EOF
```
Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato che può essere incapsulato nella configurazione della attendibilità in modo che sia sempre considerato valido. Puoi specificare più certificati in una lista consentita utilizzando più istanze del campo pemCertificate.
Per importare il file YAML della configurazione della attendibilità, utilizza il comando gcloud certificate-manager trust-configs import:
globale
Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, specifica global come posizione in cui è archiviata la risorsa di configurazione della attendibilità.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global
```
Sostituisci quanto segue:
- TRUST_CONFIG_NAME: il nome della risorsa di configurazione dell'attendibilità.
regionale
Per i bilanciatori del carico delle applicazioni esterni e interni regionali, specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=LOCATION
```
Sostituisci quanto segue:
- TRUST_CONFIG_NAME: il nome della risorsa di configurazione dell'attendibilità.
- LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

Crea una risorsa di autenticazione client

Una risorsa di autenticazione client (chiamata anche ServerTLSPolicy) consente di specificare la modalità TLS lato server e la risorsa di configurazione di attendibilità da utilizzare per convalidare i certificati client. Se il client presenta un certificato non valido o non ha nessun certificato per il bilanciatore del carico, il clientValidationMode specifica come viene gestita la connessione del client. Per ulteriori informazioni, consulta Modalità di convalida del client mTLS.

Quando clientValidationMode è impostato su ALLOW_INVALID_OR_MISSING_CLIENT_CERT, tutte le richieste vengono passate al backend anche se la convalida non va a buon fine o se manca il certificato client.
Quando clientValidationMode è impostato su REJECT_INVALID, al backend vengono trasmesse solo le richieste che forniscono un certificato client che può essere convalidato in base a una risorsa TrustConfig.

Per creare una risorsa di autenticazione client (ServerTlsPolicy), compila i seguenti passaggi:

Console

Nella console Google Cloud, vai alla pagina Autenticazione client.

Vai ad Autenticazione client
Fai clic su Crea autenticazione client.
Inserisci un nome per la risorsa di autenticazione client.
Per Località, seleziona Globale o Regionale.

Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, imposta la località su globale. Per i bilanciatori del carico delle applicazioni esterni regionali e i bilanciatori del carico delle applicazioni interni regionali, imposta la località sulla regione in cui è configurato il bilanciatore del carico.
Per Modalità di autenticazione client, seleziona Bilanciamento del carico.
Seleziona una modalità di convalida client.
Seleziona la risorsa di configurazione di attendibilità creata in precedenza.
Fai clic su Crea.

Verifica che sia visualizzata l'autenticazione client (ServerTlsPolicy).

gcloud

In base a come vuoi gestire la connessione, seleziona una delle seguenti opzioni per definire la risorsa AuthenticationClient (ServerTlsPolicy) in formato YAML.
- Opzione 1: clientValidationMode è impostato su ALLOW_INVALID_OR_MISSING_CLIENT_CERT.
  globale
  Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, crea un file YAML che specifichi in modo dichiarativo la modalità di convalida del client e una risorsa di configurazione della attendibilità globale:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
  regionale
  Per i bilanciatori del carico delle applicazioni esterni e interni regionali, crea un file YAML che specifichi in modo dichiarativo la modalità di convalida del client e una risorsa di configurazione della attendibilità regionale:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
- Opzione 2: clientValidationMode è impostato su REJECT_INVALID.
  globale
  Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, crea un file YAML che specifichi in modo dichiarativo la modalità di convalida del client e una risorsa di configurazione della attendibilità globale:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
  regionale
  Per i bilanciatori del carico delle applicazioni esterni e interni regionali, crea un file YAML che specifichi in modo dichiarativo la modalità di convalida del client e una risorsa di configurazione della attendibilità regionale:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
  Sostituisci quanto segue:
  
  SERVER_TLS_POLICY_NAME: il nome della risorsa Client Authentication (ServerTlsPolicy).
  
  PROJECT_ID: l'ID del tuo progetto Google Cloud.
  
  LOCATION: per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, utilizza global. Per il bilanciatore del carico delle applicazioni esterno regionale o il bilanciatore del carico delle applicazioni interno regionale, utilizza la regione in cui hai configurato il bilanciatore del carico.
  
  TRUST_CONFIG_NAME: il nome della risorsa di configurazione dell'attendibilità che hai creato in precedenza.
Per importare la risorsa ServerTlsPolicy di autenticazione client, utilizza il comando gcloud network-security server-tls-policies import:
globale
Per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico delle applicazioni interni tra regioni, imposta il flag --location su global.
```
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
  --source=server_tls_policy.yaml \
  --location=global
```
Sostituisci quanto segue:

SERVER_TLS_POLICY_NAME: il nome della risorsa Client Authentication (ServerTlsPolicy).
regionale
Per i bilanciatori del carico delle applicazioni esterni regionali e i bilanciatori del carico delle applicazioni interni regionali, imposta il flag --location sulla regione in cui è configurato il bilanciatore del carico.
```
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
  --source=server_tls_policy.yaml \
  --location=LOCATION
```
Sostituisci quanto segue:

SERVER_TLS_POLICY_NAME: il nome della risorsa Client Authentication (ServerTlsPolicy).
(Facoltativo) Per elencare tutte le risorse di autenticazione client (ServerTlsPolicies), utilizza il gcloud network-security server-tls-policies list comando:
```
gcloud network-security server-tls-policies list \
  --location=LOCATION
```
Sostituisci quanto segue:

LOCATION: per i bilanciatori del carico delle applicazioni esterni globali, per i bilanciatori del carico delle applicazioni classici e per i bilanciatori del carico delle applicazioni interni tra regioni, utilizza global. Per il bilanciatore del carico delle applicazioni esterno regionale o il bilanciatore del carico delle applicazioni interno regionale, utilizza la regione in cui hai configurato il bilanciatore del carico.

Collega la risorsa Autenticazione client al bilanciatore del carico

Affinché l'autenticazione TLS reciproca (mTLS) funzioni, dopo aver configurato il bilanciatore del carico, devi collegare la risorsa di autenticazione client (ServerTLSPolicy) alla risorsa proxy HTTPS di destinazione del bilanciatore del carico.

Console

Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

Vai a Bilanciamento del carico
Dall'elenco dei bilanciatori del carico, seleziona quello a cui devi collegare la risorsa Autenticazione client (ServerTLSPolicy).
Fai clic su Modifica.
Nella sezione Configurazione frontend per un frontend HTTPS, espandi la sezione Mostra funzionalità avanzate.
Nell'elenco Client Authentication (Autenticazione client), seleziona la risorsa Client Authentication.
Fai clic su Fine.
Fai clic su Aggiorna.

gcloud

Per elencare tutte le risorse proxy HTTPS di destinazione nel tuo progetto, utilizza il comando gcloud compute target-https-proxies list:
```
gcloud compute target-https-proxies list
```
Prendi nota del nome del proxy HTTPS di destinazione a cui collegare la risorsa ServerTLSPolicy. Questo nome viene chiamato TARGET_HTTPS_PROXY_NAME nei passaggi successivi.
Per esportare la configurazione di un proxy HTTPS di destinazione in un file, utilizza il comando gcloud compute target-https-proxies export.
globale
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --global
Sostituisci quanto segue:
- TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione.
- TARGET_PROXY_FILENAME: il nome del file di configurazione del proxy di destinazione in formato YAML. Ad esempio, mtls_target_proxy.yaml.
regionale
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --region=REGION
Sostituisci quanto segue:
- TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione.
- TARGET_PROXY_FILENAME: il nome del file di configurazione del proxy di destinazione in formato YAML. Ad esempio, mtls_target_proxy.yaml
- REGION: la regione in cui hai configurato il bilanciatore del carico.
Per elencare tutte le risorse di autenticazione client (ServerTlsPolicy), utilizza il gcloud network-security server-tls-policies list comando:
```
gcloud network-security server-tls-policies list \
    --location=LOCATION
```
Sostituisci quanto segue:

LOCATION: per bilanciatore del carico delle applicazioni interno tra regioni, bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico delle applicazioni classico, utilizza global. Per il bilanciatore del carico delle applicazioni esterno regionale o il bilanciatore del carico delle applicazioni interno regionale, utilizza la regione in cui hai configurato il bilanciatore del carico.

Prendi nota del nome della risorsa Authentication (ServerTLSPolicy) (Autenticazione) per configurare mTLS. Questo nome viene chiamato SERVER_TLS_POLICY_NAME nel passaggio successivo.
Aggiungi l'autenticazione client (ServerTlsPolicy) al proxy HTTPS di destinazione.
```
echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/LOCATION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
- LOCATION: per bilanciatori del carico delle applicazioni esterni globali o bilanciatori del carico delle applicazioni classici e bilanciatori del carico delle applicazioni interni tra regioni, utilizza global. Per il bilanciatore del carico delle applicazioni esterno regionale o il bilanciatore del carico delle applicazioni interno regionale, utilizza la regione in cui hai configurato il bilanciatore del carico.
- SERVER_TLS_POLICY_NAME: il nome della risorsa Client Authentication (ServerTLSPolicy).
- TARGET_PROXY_FILENAME: il nome del file di configurazione del proxy di destinazione in formato YAML.
Per importare la configurazione di un proxy HTTPS di destinazione da un file, utilizza il comando gcloud compute target-https-proxies import.
globale
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --global
Sostituisci quanto segue:
- TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione.
- TARGET_PROXY_FILENAME: il nome del file di configurazione del proxy di destinazione in formato YAML. Ad esempio, mtls_target_proxy.yaml.
regionale
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --region=REGION
Sostituisci quanto segue:
- TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione.
- TARGET_PROXY_FILENAME: il nome del file di configurazione del proxy di destinazione in formato YAML. Ad esempio, mtls_target_proxy.yaml
- REGION: la regione in cui hai configurato il bilanciatore del carico.

Aggiungere intestazioni personalizzate mTLS

Quando attivi mTLS, puoi passare informazioni sulla connessione mTLS utilizzando intestazioni personalizzate. Puoi anche attivare la registrazione in modo che i errori di connessione mTLS vengano acquisiti nei log.

Aggiungi intestazioni personalizzate mTLS ai servizi di backend

Per i bilanciatori del carico delle applicazioni esterni globali o i bilanciatori del carico delle applicazioni classici, puoi utilizzare le intestazioni personalizzate per trasmettere informazioni sulla connessione mTLS ai servizi di backend.

Per elencare tutti i servizi di backend nel progetto, utilizza il comando gcloud compute backend-services list:
```
gcloud compute backend-services list
```
Prendi nota del nome del servizio di backend per abilitare le intestazioni e il logging personalizzati. Questo nome viene chiamato BACKEND_SERVICE nel passaggio successivo.

Per aggiornare il servizio di backend, utilizza il comando gcloud compute backend-services update:

gcloud compute backend-services update BACKEND_SERVICE \
  --global \
  --enable-logging \
  --logging-sample-rate=1 \
  --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \
  --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \
  --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \
  --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \
  --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \
  --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \
  --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \
  --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \
  --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \
  --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'

Aggiungere intestazioni personalizzate mTLS alla mappa degli URL

Per il bilanciatore del carico delle applicazioni interno tra regioni, il bilanciatore del carico delle applicazioni esterno regionale o il bilanciatore del carico delle applicazioni interno regionale, puoi utilizzare le intestazioni personalizzate per trasmettere informazioni sulla connessione mTLS alla mappa URL.

Per elencare tutte le mappe URL del progetto, utilizza il comando gcloud compute url-maps list:

   gcloud compute url-maps list

Prendi nota del nome della mappa URL per attivare le intestazioni e il logging personalizzati. Questo nome viene chiamato URL_MAP_NAME nel passaggio successivo.

globale

Per modificare la mappa URL di un bilanciatore del carico delle applicazioni interno tra regioni, utilizza il comando gcloud compute url-maps edit:

   gcloud compute url-maps edit URL_MAP_NAME --global

Di seguito è riportato un file YAML di esempio che mostra come utilizzare le variabili negli intestazioni delle richieste personalizzate (requestHeadersToAdd). Puoi utilizzare le stesse variabili per inviare intestazioni di risposta personalizzate (responseHeadersToAdd).

   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"

regionale

Per modificare la mappa degli URL per un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, utilizza il comando gcloud compute url-maps edit:

   gcloud compute url-maps edit URL_MAP_NAME --region=REGION

   defaultService: regions/REGION/backendServices/BACKEND_SERVICE_1
      name: regional-lb-map
      region: region/REGION
   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"

Firma una chiave client con il certificato intermedio

Questa sezione fornisce un'opzione di configurazione aggiuntiva per generare un certificato finale. Se hai già creato una risorsa TrustConfig utilizzando i certificati intermedi (int.cert e int.key), segui le seguenti istruzioni:

Crea un file di configurazione della chiave client.

cat > client.config << EOF
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = critical, CA:FALSE
keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage          = clientAuth

[dn_requirements]
countryName               = US
stateOrProvinceName       = California
localityName              = San Francisco
0.organizationName        = example
organizationalUnitName    = test
commonName                = test.example.com
emailAddress              = test@example.com

EOF

Se vuoi che venga associata un'identità SPIFFE:

Aggiungi un subjectAltName alla sezione [extension_requirements] come segue:
```
subjectAltName            = @sans_list
```
Aggiungi una nuova sezione nella parte inferiore del file client.config con quanto segue:
```
[sans_list]
URI.1                     = spiffe://example.com/test-identity
```

Firma la chiave.

openssl req -new -keyout client.key -out client.csr -config client.config

openssl x509 -req -in client.csr -out client.cert -extfile client.config -extensions extension_requirements -days 365 -CA int.cert -CAkey int.key

Per il test, invia una richiesta curl all'indirizzo IP del bilanciatore del carico.
```
curl -v -k --key client.key --cert client.cert https://IP_ADDRESS
```
Sostituisci IP_ADDRESS con l'indirizzo IP del bilanciatore del carico.

Passaggi successivi

Configurare TLS reciproco con una CA privata