SSL/TLS adalah protokol kriptografi yang paling banyak digunakan di internet. Secara teknis, TLS adalah penerus SSL, meskipun istilah ini terkadang digunakan secara bergantian, seperti dalam dokumen ini.
Transport Layer Security (TLS) digunakan untuk mengenkripsi informasi saat dikirim melalui jaringan, sehingga memberikan privasi antara klien dan server atau load balancer. Load Balancer Aplikasi atau Load Balancer Jaringan proxy yang menggunakan SSL memerlukan setidaknya satu kunci pribadi dan sertifikat SSL.
Metode konfigurasi sertifikat
Google Cloud menawarkan tiga metode konfigurasi sertifikat untuk Load Balancer Aplikasi menggunakan proxy HTTPS target dan proxy Network Load Balancer menggunakan proxy SSL target.
Proxy target mereferensikan sertifikat SSL Compute Engine: dengan metode ini, proxy target load balancer dapat mereferensikan hingga 15 resource sertifikat SSL Compute Engine. Setiap resource sertifikat SSL Compute Engine berisi kunci pribadi, sertifikat yang sesuai, dan—opsional—sertifikat CA.
Proxy target merujuk ke peta sertifikat Certificate Manager: dengan metode ini, proxy target load balancer merujuk ke satu peta sertifikat. Peta sertifikat mendukung ribuan entri secara default, dan dapat diskalakan hingga jutaan entri. Setiap entri berisi data kunci pribadi dan sertifikat.
Proxy target mereferensikan sertifikat Certificate Manager secara langsung: dengan metode ini, proxy target load balancer dapat mereferensikan hingga 100 sertifikat Certificate Manager.
Dukungan load balancer
Tabel berikut menunjukkan metode konfigurasi sertifikat yang didukung oleh setiap load balancer.
| Load balancer | Metode konfigurasi sertifikat: Proxy target merujuk... | |||
|---|---|---|---|---|
| Sertifikat SSL Compute Engine | Peta sertifikat Certificate Manager | Sertifikat Certificate Manager secara langsung | ||
| Load Balancer Aplikasi (proxy HTTPS target) | ||||
| Load Balancer Aplikasi eksternal global | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi Klasik | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi eksternal regional | Mendukung
sertifikat
regional Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi internal regional | Mendukung
sertifikat
regional Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Aplikasi internal lintas region |
Dikelola sendiri Dikelola Google |
|||
| Load Balancer Jaringan Proxy (proxy SSL target) | ||||
| Load Balancer Jaringan proxy eksternal global | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
| Load Balancer Jaringan proxy klasik | Mendukung
sertifikat
global Dikelola sendiri Dikelola Google |
Dikelola sendiri Dikelola Google |
||
Aturan metode konfigurasi
Google Cloud menerapkan aturan metode konfigurasi sertifikat berikut:
Untuk load balancer yang mendukung sertifikat SSL Compute Engine dan peta sertifikat Certificate Manager: proxy target load balancer dapat secara bersamaan mereferensikan peta sertifikat dan satu atau beberapa sertifikat SSL Compute Engine; namun, dalam kasus seperti itu, semua sertifikat SSL Compute Engine diabaikan, dan hanya sertifikat dari peta sertifikat yang digunakan oleh load balancer.
Untuk load balancer yang mendukung sertifikat SSL Compute Engine dan sertifikat Certificate Manager yang terpasang langsung: proxy target load balancer hanya dapat dikonfigurasi untuk mereferensikan hingga 15 sertifikat SSL Compute Engine atau hingga 100 sertifikat Certificate Manager, bukan kombinasi keduanya.
Jenis sertifikat
Google Cloud mendukung sertifikat yang dikelola sendiri dan dikelola Google.
Sertifikat SSL yang dikelola sendiri
Sertifikat SSL yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri. Sertifikat yang dikelola sendiri dapat berupa salah satu jenis Sertifikat kunci publik berikut:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Sertifikat Extended Validation (EV)
Anda dapat membuat sertifikat SSL yang dikelola sendiri menggunakan:
Resource sertifikat SSL Compute Engine: untuk mengetahui informasi selengkapnya, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
Certificate Manager: untuk mengetahui informasi selengkapnya, lihat Ringkasan deployment di dokumentasi Certificate Manager.
Sertifikat SSL yang dikelola Google
Sertifikat SSL yang dikelola Google adalah sertifikat yang Google Cloud diperoleh, dikelola, dan diperpanjang secara otomatis. Sertifikat yang dikelola Google selalu berupa sertifikat Validasi Domain (DV). Sertifikat ini tidak menunjukkan identitas organisasi atau individu yang terkait dengan sertifikat tersebut.
Sertifikat yang dikelola Google menggunakan karakter pengganti hanya didukung oleh Certificate Manager saat menggunakan otorisasi DNS.
Anda dapat membuat sertifikat SSL yang dikelola Google menggunakan:
- Resource sertifikat SSL Compute Engine: hanya resource
sslCertificatesCompute Engine global yang mendukung sertifikat SSL yang dikelola Google;regionSslCertificatestidak mendukungnya. Sertifikat SSL Compute Engine global hanya mendukung sertifikat yang dikelola Google dan dipercaya secara publik. Untuk informasi selengkapnya, lihat Menggunakan sertifikat SSL yang dikelola Google. - Certificate Manager: Sertifikat Certificate Manager (global dan regional) mendukung sertifikat yang dikelola Google dan dipercaya secara publik serta sertifikat yang dikelola Google dan dipercaya secara pribadi. Untuk mengetahui informasi selengkapnya, lihat Sertifikat dalam dokumentasi Certificate Manager.
Jenis kunci yang didukung
Load balancer mendukung sertifikat yang menggunakan kunci pribadi dari berbagai jenis kunci. Tabel berikut menunjukkan dukungan jenis kunci, bergantung pada apakah sertifikat bersifat global atau regional, dan apakah sertifikat tersebut dikelola sendiri atau dikelola Google.|
Jenis sertifikat SSL arrow_forward Jenis kunci arrow_downward |
Sertifikat SSL Compute Engine | Sertifikat SSL Certificate Manager | ||||
|---|---|---|---|---|---|---|
| Global | Regional | Global dan regional | ||||
| Kelola sendiri | Dikelola Google dan dipercaya publik | Kelola sendiri | Kelola sendiri | Dikelola Google dan dipercaya publik | Dikelola Google dan dipercaya secara pribadi | |
| RSA-2048 | ||||||
| RSA-3072 | ||||||
| RSA-4096 | ||||||
| ECDSA P-256 | ||||||
| ECDSA P-384 | ||||||
Menggunakan sertifikat dengan kunci ECDSA
Bagian ini membahas alasan kami merekomendasikan ECDSA daripada RSA sebagai praktik terbaik untuk kunci penandatanganan sertifikat.
Jenis kunci yang akan digunakan
ECDSA P-256 adalah pilihan jenis kunci yang direkomendasikan untuk sebagian besar sertifikat TLS, yang menawarkan keamanan kriptografi yang kuat bersama dengan performa yang sangat baik untuk operasi penandatanganan dan penggunaan bandwidth jaringan yang efisien.
Beberapa kemungkinan alasan untuk menggunakan jenis kunci sertifikat lain adalah sebagai berikut:
- Jika Anda perlu mendukung klien lama yang tidak mendukung sertifikat ECDSA, Anda dapat memberikan sertifikat RSA-2048 selain sertifikat ECDSA P-256.
- Jika Anda memiliki persyaratan kepatuhan khusus yang mengharuskan Anda menggunakan ukuran kunci yang lebih besar atau jenis kunci tertentu, kunci ECDSA P-384, RSA-2048, RSA-3072, dan RSA-4096 dapat digunakan.
Alasan memilih ECDSA daripada RSA
Keunggulan utama ECDSA terletak pada kemampuannya untuk memberikan tingkat keamanan kriptografi yang setara dengan kunci yang jauh lebih kecil dibandingkan dengan RSA. Efisiensi ini menghasilkan manfaat performa dan resource yang nyata. Kunci yang lebih kecil tidak berarti keamanan yang lebih lemah—ECDSA didasarkan pada masalah logaritma diskrit kurva elips, yang memberikan keamanan yang lebih kuat per unit kunci, dan dalam beberapa kasus efisiensi komputasi yang lebih baik dibandingkan dengan RSA.
Contoh:
- Kunci ECDSA 256-bit memberikan tingkat keamanan yang serupa dengan kunci RSA-3072.
- Kunci ECDSA 384-bit memberikan tingkat keamanan yang lebih tinggi daripada ukuran kunci RSA yang didukung secara luas.
Manfaat utama ECDSA:
Performa: Operasi penandatanganan ECDSA jauh lebih intensif secara komputasi daripada operasi RSA yang memberikan tingkat keamanan yang setara. Hal ini mengurangi beban dan latensi CPU, yang sangat penting untuk sistem ber-throughput tinggi atau yang sensitif terhadap latensi.
Efisiensi: kunci dan tanda tangan yang lebih kecil memerlukan lebih sedikit bandwidth dan penyimpanan, yang sangat bermanfaat untuk lingkungan dengan keterbatasan resource seperti perangkat seluler dan IoT.
Beberapa sertifikat SSL
Load Balancer Aplikasi atau Load Balancer Jaringan proxy dapat menghosting dua sertifikat SSL atau lebih secara bersamaan jika proxy targetnya dikonfigurasi menggunakan metode konfigurasi sertifikat yang didukung. Sebagai praktik terbaik, gunakan Pengelola Sertifikat jika diperlukan beberapa sertifikat SSL.
Untuk load balancer yang mendukung sertifikat SSL Compute Engine: proxy target load balancer dapat mereferensikan hingga 15 sertifikat SSL Compute Engine. Resource sertifikat SSL Compute Engine yang dirujuk pertama adalah sertifikat default (primer) untuk proxy target.
Untuk load balancer yang mendukung peta sertifikat Certificate Manager: proxy target load balancer mereferensikan satu peta sertifikat. Peta sertifikat mendukung ribuan entri peta sertifikat. Anda dapat mengonfigurasi entri sertifikat mana yang menjadi sertifikat default (utama) untuk peta sertifikat.
Untuk load balancer yang mendukung referensi langsung ke sertifikat Certificate Manager: proxy target load balancer dapat mereferensikan hingga 100 sertifikat Certificate Manager. Resource sertifikat SSL Certificate Manager yang dirujuk pertama adalah sertifikat default (utama) untuk proxy target.
Untuk informasi selengkapnya, lihat:
Proxy target dan sertifikat SSL dalam dokumentasi load balancing.
Kuota dan batas resource dalam dokumentasi Certificate Manager.
Proses pemilihan sertifikat
Proses pemilihan sertifikat berikut berlaku untuk load balancer yang proxy targetnya mereferensikan beberapa sertifikat SSL Compute Engine atau beberapa sertifikat Pengelola Sertifikat.
Proses pemilihan sertifikat berbeda jika proxy target load balancer mereferensikan peta sertifikat Certificate Manager. Untuk detail tentang proses pemilihan sertifikat peta sertifikat, lihat Logika pemilihan sertifikat dalam dokumentasi Pengelola Sertifikat.
Setelah klien terhubung ke load balancer, klien dan load balancer
melakukan negosiasi sesi TLS. Selama negosiasi sesi TLS, klien mengirimkan
daftar sandi TLS yang didukungnya (dalam ClientHello) ke load balancer. Load
balancer memilih sertifikat yang algoritma kunci publiknya kompatibel dengan
klien. Klien juga dapat mengirim nama host indikasi nama server (SNI) ke
load balancer sebagai bagian dari negosiasi ini. Data nama host SNI terkadang digunakan untuk membantu load balancer memilih sertifikat yang harus dikirim ke klien.
Jika proxy target load balancer hanya mereferensikan satu sertifikat, sertifikat tersebut akan digunakan, dan nilai nama host SNI yang dikirim oleh klien tidak relevan.
Jika proxy target load balancer mereferensikan dua sertifikat atau lebih, load balancer menggunakan proses berikut untuk memilih satu sertifikat:
Jika klien tidak mengirim nama host SNI apa pun dalam
ClientHello, load balancer akan menggunakan sertifikat pertama dalam daftar sertifikatnya.Jika klien mengirim nama host SNI yang tidak cocok dengan nama umum (CN) sertifikat dan tidak cocok dengan nama alternatif subjek (SAN) sertifikat, load balancer akan menggunakan sertifikat pertama dalam daftar sertifikatnya.
Dalam semua situasi lainnya: Load balancer memilih sertifikat menggunakan proses pencocokan berikut:
Pencocokan dilakukan berdasarkan akhiran terpanjang terhadap atribut sertifikat nama umum (CN) dan nama alternatif subjek (SAN), dengan preferensi untuk sertifikat ECDSA daripada sertifikat RSA.
Untuk mengilustrasikan metode pencocokan, pertimbangkan proxy target yang mereferensikan dua sertifikat berikut:
Sertifikat A
- CN:
cats.pets.example.com - SAN:
cats.pets.example.com,*.pets.example.com,*.example.com
- CN:
Sertifikat B
- CN:
dogs.pets.example.com - SAN:
dogs.pets.example.com,*.pets.example.com,*.example.com
- CN:
Sekarang pertimbangkan skenario berikut:
- Jika nama host SNI yang dikirim oleh klien adalah
cats.pets.example.com, load balancer akan menggunakan Sertifikat A. - Jika nama host SNI yang dikirim oleh klien adalah
ferrets.pets.example.com, tidak ada kecocokan persis, sehingga load balancer memilih salah satu Sertifikat A atau Sertifikat B karena keduanya menyertakan*.pets.example.comdalam daftar SAN mereka. Anda tidak dapat mengontrol sertifikat mana yang dipilih dalam situasi ini.
- Jika nama host SNI yang dikirim oleh klien adalah
Setelah sertifikat dipilih, load balancer akan mengirimkan sertifikat tersebut kepada klien hanya jika sertifikat yang dipilih menggunakan algoritma kunci publik yang kompatibel dengan cipher yang dikirim oleh klien dalam
ClientHello. Negosiasi TLS gagal jika klien tidak mendukung cipher suite yang mencakup algoritma kunci publik (ECDSA atau RSA) dari sertifikat yang dipilih load balancer.
Harga
Anda akan dikenai biaya jaringan saat menggunakan load balancer Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Semua harga jaringan. Untuk mengetahui harga Certificate Manager, lihat Harga di dokumentasi Certificate Manager. Tidak ada biaya tambahan untuk menggunakan resource sertifikat SSL Compute Engine.
Langkah berikutnya
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis