SSL/TLS è il protocollo crittografico più utilizzato su internet. Tecnicamente, TLS è il successore di SSL, anche se a volte i termini vengono utilizzati in modo intercambiabile, come in questo documento.
Transport Layer Security (TLS) viene utilizzato per criptare le informazioni durante l'invio su una rete, garantendo la privacy tra un client e un server o un bilanciatore del carico. I bilanciatori del carico proxy Google Cloud le cui regole di inoltro fanno riferimento a un proxy HTTPS di destinazione o a un proxy SSL di destinazione richiedono una chiave privata e un certificato SSL come parte della configurazione del proxy di destinazione del bilanciatore del carico.
Metodi di configurazione dei certificati
Google Cloud offre due metodi per configurare i certificati SSL per i bilanciatori del carico proxy HTTP(S) e SSL. Entrambi i metodi supportano i certificati SSL autogestiti e gestiti da Google.
Risorsa certificato SSL di Compute Engine: con questo metodo, il proxy di destinazione per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico, un bilanciatore del carico di rete con proxy esterno, un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno è configurato per fare riferimento a una risorsa certificato SSL di Compute Engine. La risorsa del certificato SSL contiene la chiave privata, il certificato corrispondente e, facoltativamente, i certificati CA. Questo metodo supporta tutti i livelli di servizio di rete supportati dal bilanciatore del carico.
Gestione certificati: con questo metodo, il proxy di destinazione per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno è configurato per fare riferimento a una mappa dei certificati. La mappa dei certificati contiene una o più voci di certificato. Ogni voce del certificato fa riferimento a una singola risorsa del certificato di Certificate Manager e ogni risorsa del certificato contiene una chiave privata e un certificato. Con Gestore certificati, un proxy HTTPS di destinazione o un proxy SSL di destinazione può fare riferimento a una mappa dei certificati con migliaia di voci di certificati SSL. Questo metodo è disponibile solo quando il bilanciatore del carico utilizza il livello Premium di Network Service Tiers.
Per i bilanciatori del carico delle applicazioni interni tra regioni, i bilanciatori del carico delle applicazioni interni regionali e i bilanciatori del carico delle applicazioni esterni regionali, i certificati di Certificate Manager vengono collegati al proxy di destinazione. Le mappe di certificati non sono supportate.
Per ulteriori informazioni, consulta la seguente documentazione:
La seguente tabella mostra i diversi tipi di risorse del certificato che possono essere collegate a un proxy HTTPS di destinazione o a un proxy SSL di destinazione dei bilanciatori del carico proxy di Google Cloud. I certificati SSL di Compute Engine vengono collegati direttamente al proxy di destinazione, mentre i certificati SSL di Certificate Manager possono essere collegati direttamente al proxy di destinazione o tramite una mappa dei certificati.
Bilanciatore del carico proxy | Certificati SSL di Compute Engine | Certificati SSL di Certificate Manager | |
---|---|---|---|
Collega al proxy di destinazione tramite una mappa di certificati | Allegato direttamente al proxy di destinazione | ||
Bilanciatore del carico delle applicazioni esterno globale (con un proxy HTTPS) | |||
Bilanciatore del carico delle applicazioni classico (con un proxy HTTPS) | |||
Bilanciatore del carico di rete proxy esterno globale (con un proxy SSL) | |||
Bilanciatore del carico di rete proxy classico (con un proxy SSL) | |||
Bilanciatore del carico delle applicazioni interno tra regioni (con un proxy HTTPS) | |||
Bilanciatore del carico delle applicazioni esterno regionale (con un proxy HTTPS) | |||
Bilanciatore del carico delle applicazioni interno regionale (con un proxy HTTPS) |
Tipi di certificati
Puoi creare i tuoi certificati o Google può gestirli per te:I certificati SSL con gestione indipendente sono certificati che ottieni, esegui il provisioning e rinnova autonomamente. I certificati autogestiti possono essere di uno dei seguenti tipi di certificati di chiave pubblica:
- Verifica del dominio (DV)
- Convalida dell'organizzazione (OV)
- Certificati con convalida estesa (EV)
Per ulteriori informazioni sui certificati SSL di Compute Engine con gestione indipendente, consulta Utilizzare i certificati SSL con gestione indipendente.
Per ulteriori informazioni sui certificati SSL autogestiti e su Certificate Manager, consulta Caricare un certificato autogestito nella documentazione di Certificate Manager o Eseguire il deployment di un certificato autogestito per un tutorial end-to-end.
I certificati SSL gestiti da Google sono certificati che Google Cloud ottiene, gestisce e rinnova automaticamente. I certificati gestiti da Google sono sempre certificati di convalida del dominio (DV). Non dimostrano l'identità di un'organizzazione o di un privato associato al certificato e non supportano i nomi comuni con caratteri jolly.
Per ulteriori informazioni sui certificati SSL di Compute Engine gestiti da Google, consulta Utilizzare i certificati SSL gestiti da Google.
Certificate Manager supporta i certificati SSL gestiti da Google utilizzando l'autorizzazione del bilanciatore del carico, l'autorizzazione DNS e l'integrazione con un Certificate Authority Service. Per ulteriori informazioni su Certificate Manager per i certificati SSL gestiti da Google, consulta la Panoramica dell'implementazione nella documentazione di Certificate Manager.
Certificati e bilanciatori del carico Google Cloud
Le sezioni seguenti descrivono in che modo ogni bilanciatore del carico delle applicazioni supporta i diversi metodi di configurazione dei certificati.
Certificati SSL di Compute Engine
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano i certificati SSL di Compute Engine autogestiti o i certificati SSL di Compute Engine gestiti da Google o entrambi:
Supporto dei certificati SSL di Compute Engine | ||
---|---|---|
Bilanciatore del carico | Autogestito | Gestita da Google |
Bilanciatore del carico delle applicazioni esterno globale * | sslCertificates |
sslCertificates |
Bilanciatore del carico delle applicazioni classico * | sslCertificates |
sslCertificates |
Bilanciatore del carico delle applicazioni esterno regionale † | regionSslCertificates |
|
Bilanciatore del carico delle applicazioni interno regionale † | regionSslCertificates |
|
Bilanciatore del carico delle applicazioni interno tra regioni * | ||
Bilanciatore del carico di rete proxy esterno (con proxy SSL) ‡ | sslCertificates |
sslCertificates |
* Il bilanciatore del carico delle applicazioni esterno globale, il bilanciatore del carico delle applicazioni interno tra regioni e il bilanciatore del carico delle applicazioni classico utilizzano proxy HTTPS di destinazione globali, anche quando un bilanciatore del carico delle applicazioni classico utilizza il livello Standard.
† Il bilanciatore del carico delle applicazioni esterno regionale e il bilanciatore del carico delle applicazioni interno utilizzano proxy HTTPS di destinazione regionali.
‡ Il bilanciatore del carico di rete con proxy esterno utilizza proxy SSL di destinazione globali, anche nel livello Standard.
Certificati SSL di Certificate Manager
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano i certificati autogestiti o gestiti da Google di Certificate Manager o entrambi.
Bilanciatore del carico | Certificato gestito da Google | Certificato autogestito | ||
---|---|---|---|---|
Autorizzazione DNS | Autorizzazione bilanciatore del carico | Certificate Authority Service (servizio CA) | ||
Bilanciatore del carico delle applicazioni esterno globale | info |
info |
info |
info |
Bilanciatore del carico delle applicazioni classico | info |
info |
info |
info |
Bilanciatore del carico di rete proxy esterno globale | info |
info |
info |
info |
Bilanciatore del carico delle applicazioni interno tra regioni | info |
info |
info |
|
Bilanciatore del carico delle applicazioni esterno regionale | info |
info |
info |
|
Bilanciatore del carico delle applicazioni interno regionale | info |
info |
info |
Più certificati SSL
Puoi utilizzare lo stesso proxy HTTPS di destinazione o proxy SSL di destinazione per ospitare più certificati, una pratica comune quando il bilanciatore del carico supporta più nomi di dominio. Puoi configurare una singola regola di forwarding (un singolo indirizzo IP e una porta) per fare riferimento a un proxy target comune oppure puoi configurare più regole di inoltro (indirizzi IP e porte diversi) per fare riferimento a un proxy target comune.
Più risorse del certificato SSL di Compute Engine
Quando utilizzi le risorse dei certificati SSL di Compute Engine, ogni risorsa proxy di destinazione può fare riferimento a un numero massimo di certificati SSL per proxy HTTPS di destinazione o proxy SSL di destinazione non configurabile. Per ulteriori informazioni, consulta Pool target e proxy target nella documentazione relativa a quote e limiti del bilanciamento del carico.
La prima risorsa del certificato SSL di Compute Engine a cui fa riferimento il proxy di destinazione di un bilanciatore del carico è considerata il certificato predefinito (principale) per il bilanciatore del carico.
Più certificati SSL con Certificate Manager
Quando utilizzi Certificate Manager con una mappa di certificati su un bilanciatore del carico, ogni risorsa proxy di destinazione fa riferimento a una singola mappa di certificati. Una mappa di certificati fa riferimento a una o più voci di certificati e puoi configurare la voce di certificato predefinita (principale) per la mappa. Il numero di mappe, voci e certificati di Gestore certificati sono quote configurabili per progetto. Per ulteriori informazioni, consulta Quota di risorse nella documentazione di Certificate Manager.
Se utilizzi un bilanciatore del carico che supporta Certificate Manager e devi ospitare più di alcuni certificati SSL per proxy di destinazione, assicurati di utilizzare Certificate Manager anziché le risorse dei certificati SSL di Compute Engine.
Metodo di selezione del certificato
Dopo che un client si connette a un bilanciatore del carico proxy HTTP(S) o SSL, il client e il bilanciatore del carico negoziano una sessione TLS. Durante la negoziazione della sessione TLS, il client invia al bilanciatore del carico un elenco di critpografi TLS supportati (in ClientHello
). Il bilanciatore del carico seleziona un certificato il cui algoritmo di chiave pubblica è compatibile con il client. Nell'ambito di questa negoziazione, il client può anche inviare al bilanciatore del carico un nome host con indicazione nome server (SNI). I dati del nome host SNI vengono a volte utilizzati per aiutare il bilanciatore del carico a scegliere quale certificato inviare al client.
I bilanciatori del carico proxy di Google Cloud seguono i passaggi descritti in questa sezione per selezionare un certificato e inviarlo al client. Il termine "predefinito (principale) certificato SSL", come utilizzato nei passaggi che seguono, si riferisce al primo certificato SSL di Compute Engine a cui fa riferimento il proxy di destinazione.
Il bilanciatore del carico seleziona un singolo certificato candidato:
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a una sola risorsa del certificato SSL di Compute Engine, il bilanciatore del carico utilizza l'unico certificato configurato come candidato. Il valore del nome host SNI (se fornito) non influisce affatto sul bilanciatore del carico. Vai al passaggio 2.
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a due o più risorse di certificati SSL di Compute Engine, il bilanciatore del carico utilizza la seguente procedura per selezionare un unico certificato candidato:
Se il client non invia alcun nome host SNI nel proprio
ClientHello
, il bilanciatore del carico utilizza il certificato SSL predefinito (principale) come candidato per il certificato. Vai al passaggio 2.Se il client invia un nome host SNI che non corrisponde a nessun nome comune (CN) del certificato e a nessun nome alternativo dell'oggetto (SAN) del certificato, il bilanciatore del carico utilizza il certificato SSL predefinito (principale) come certificato candidato. Vai al passaggio 2.
Il bilanciatore del carico seleziona un certificato candidato che corrisponde al nome host SNI inviato dal client. La corrispondenza viene eseguita in base al prefisso più lungo nei confronti degli attributi del certificato sia del nome comune (CN) sia del nome alternativo dell'oggetto (SAN), con una preferenza per i certificati ECDSA rispetto ai certificati RSA. Per illustrare il metodo di corrispondenza, prendi in considerazione un proxy di destinazione che fa riferimento a un certificato il cui CN è
cats.pets.example.com
e a un altro certificato il cui CN èdogs.pets.example.com
. Oltre a includere ogni valore CN nei propri identificativi SAN, ogni certificato include*.pets.example.com
e*.example.com
nei propri identificativi SAN.- Se il nome host SNI fornito è
cats.pets.example.com
, il bilanciatore del carico utilizza il certificato il cui CN ècats.pets.example.com
come candidato. Vai al passaggio 2. - Se il nome host SNI fornito è
ferrets.pets.example.com
, il bilanciatore del carico utilizza uno dei due certificati come candidato perché entrambi i certificati configurati hanno nomi comuni del soggetto che includono*.pets.example.com
. In questa situazione, non puoi controllare quale dei due viene scelto come candidato per il certificato. Vai al passaggio 2.
- Se il nome host SNI fornito è
Il certificato candidato viene inviato al client se utilizza un algoritmo a chiave pubblica compatibile con una delle crittografie dichiarate dal client.
- La negoziazione TLS può non riuscire se il client non supporta una suite di crittografia che includa l'algoritmo a chiave pubblica (ECDSA o RSA) del certificato.
- Il bilanciatore del carico non utilizza gli attributi
notValidBefore
enotValidAfter
del certificato come parte del metodo di selezione dei candidati. Ad esempio, il bilanciatore del carico può fornire un certificato scaduto se questo è stato selezionato come certificato candidato.
Prezzi
Quando utilizzi i bilanciatori del carico Google Cloud, ti vengono addebitati i costi di rete. Per ulteriori informazioni, consulta la sezione Tutti i prezzi di networking. Per i prezzi di Certificate Manager, consulta la sezione Prezzi nella documentazione di Certificate Manager. Non vengono addebitati costi aggiuntivi per l'utilizzo delle risorse dei certificati SSL di Compute Engine.
Passaggi successivi
Per ulteriori informazioni sui certificati SSL di Compute Engine, consulta le seguenti pagine:
- Per ulteriori informazioni sui certificati SSL di Compute Engine con gestione indipendente, consulta Utilizzare i certificati SSL con gestione indipendente.
- Per ulteriori informazioni sui certificati SSL di Compute Engine gestiti da Google, consulta Utilizzare i certificati SSL gestiti da Google.
- Per informazioni su quote e limiti (incluse le lunghezze delle chiavi supportate) per i certificati SSL di Compute Engine, consulta Certificati SSL e Pool di destinazione e proxy di destinazione nella documentazione del bilanciatore del carico.
Per ulteriori informazioni su Certificate Manager, consulta le seguenti pagine:
- Panoramica di Gestore certificati.
- Per ulteriori informazioni sui certificati SSL autogestiti e su Certificate Manager, consulta Caricare un certificato autogestito nella documentazione di Certificate Manager o Eseguire il deployment di un certificato autogestito per un tutorial end-to-end.
- Per ulteriori informazioni sui certificati SSL gestiti da Google e su Certificate Manager, consulta Gestire i certificati nella documentazione di Certificate Manager.
- Per informazioni sulle quote e sui limiti di Certificate Manager, consulta Quote delle risorse nella documentazione di Certificate Manager.
Per informazioni dettagliate su come configurare i certificati SSL per i bilanciatori del carico proxy gestiti da GKE, consulta GKE Ingress per il bilanciamento del carico HTTP(S), la documentazione dell'API GKE Gateway e Il bilanciamento del carico nativo dei contenitori tramite NEG zonali autonomi.
Per informazioni dettagliate su bilanciatori di carico e crittografia dei dati in transito, consulta la sezione Crittografia dei dati in transito e il white paper Crittografia dei dati in transito in Google Cloud.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente