TLS (Transport Layer Security) viene utilizzato per criptare le informazioni mentre vengono inviate attraverso una rete, garantendo la privacy tra un client e un server o un bilanciatore del carico. I bilanciatori del carico del proxy Google Cloud le cui regole di forwarding fanno riferimento a un proxy HTTPS di destinazione o a un proxy SSL di destinazione richiedono una chiave privata e un certificato SSL come parte della configurazione del proxy di destinazione del bilanciatore del carico.
Metodi di configurazione dei certificati
Google Cloud offre due metodi per configurare i certificati SSL per i bilanciatori del carico HTTP(S) e del proxy SSL. Entrambi i metodi supportano certificati SSL autogestiti e gestiti da Google.
Risorsa del certificato SSL di Compute Engine: con questo metodo, il proxy di destinazione per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico, un bilanciatore del carico di rete proxy esterno, un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno è configurato per fare riferimento a una risorsa di certificato SSL di Compute Engine. La risorsa del certificato SSL contiene la chiave privata, il certificato corrispondente e, facoltativamente, i certificati CA. Questo metodo supporta tutti i livelli di servizi di rete supportati dal bilanciatore del carico.
Gestore certificati: con questo metodo, il proxy di destinazione per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete proxy esterno è configurato per fare riferimento a una mappa certificati. La mappa di certificati contiene una o più voci di certificato. Ogni voce di certificato fa riferimento a una singola risorsa di certificato di Gestore certificati e ogni risorsa di certificato contiene una chiave privata e un certificato. Con Gestore certificati, un proxy HTTPS di destinazione o un proxy SSL di destinazione può fare riferimento a una mappa di certificati con migliaia di voci di certificati SSL. Questo metodo è disponibile solo quando il bilanciatore del carico utilizza il livello Premium di Network Service Tiers.
Per gli Application Load Balancer interni tra regioni, gli Application Load Balancer interni regionali e gli Application Load Balancer esterni regionali, i certificati di Gestore certificati vengono collegati al proxy di destinazione. Le mappe di certificati non sono supportate.
Per ulteriori informazioni, consulta la seguente documentazione:
Tipi di certificato
Puoi creare i tuoi certificati oppure Google può gestirli per te:
I certificati SSL autogestiti sono certificati che ottieni, esegui il provisioning e rinnovi in modo autonomo. I certificati autogestiti possono essere uno qualsiasi di questi tipi di certificato di chiave pubblica:
- Convalida del dominio (DV)
- Convalida organizzazione (OV)
- Certificati EV (Extended Validation)
Per ulteriori informazioni sui certificati SSL autogestiti di Compute Engine, consulta Utilizzare i certificati SSL autogestiti.
Per ulteriori informazioni sui certificati SSL autogestiti e su Gestore certificati, vedi Caricare un certificato autogestito nella documentazione di Gestore certificati o Eseguire il deployment di un certificato autogestito per un tutorial end-to-end.
I certificati SSL gestiti da Google sono certificati che Google Cloud ottiene, gestisce e rinnova automaticamente. I certificati gestiti da Google sono sempre certificati di convalida del dominio (DV). Non dimostrano l'identità di un'organizzazione o di un individuo associato al certificato e non supportano i nomi comuni con caratteri jolly.
Per ulteriori informazioni sui certificati SSL di Compute Engine gestiti da Google, consulta Utilizzare i certificati SSL gestiti da Google.
Gestore certificati supporta i certificati SSL gestiti da Google tramite autorizzazione del bilanciatore del carico, autorizzazione DNS e integrazione con Certificate Authority Service. Per ulteriori informazioni sui certificati SSL gestiti da Google, consulta la Panoramica del deployment nella documentazione di Gestore certificati.
Certificati e bilanciatori del carico Google Cloud
Le seguenti sezioni descrivono in che modo ogni bilanciatore del carico delle applicazioni supporta i diversi metodi di configurazione dei certificati.
Certificati SSL di Compute Engine
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano i certificati SSL autogestiti di Compute Engine, i certificati SSL di Compute Engine gestiti da Google o entrambi:
| Supporto dei certificati SSL di Compute Engine | ||
|---|---|---|
| Bilanciatore del carico | Autogestito | Gestita da Google |
| Bilanciatore del carico delle applicazioni esterno globale * | sslCertificates |
sslCertificates |
| Bilanciatore del carico delle applicazioni classico * | sslCertificates |
sslCertificates |
| Bilanciatore del carico delle applicazioni esterno regionale † | regionSslCertificates |
|
| Bilanciatore del carico delle applicazioni interno regionale † | regionSslCertificates |
|
| Bilanciatore del carico delle applicazioni interno tra regioni * | ||
| Bilanciatore del carico di rete proxy esterno (con proxy SSL) ‡ | sslCertificates |
sslCertificates |
* Il bilanciatore del carico delle applicazioni esterno globale, l'Application Load Balancer interno tra regioni e il bilanciatore del carico delle applicazioni classico utilizzano proxy HTTPS di destinazione globali, anche quando un bilanciatore del carico delle applicazioni classico utilizza il livello Standard.
† Il bilanciatore del carico delle applicazioni esterno regionale e l'Application Load Balancer interno utilizzano i proxy HTTPS di destinazione a livello di regione.
‡ Il bilanciatore del carico di rete proxy esterno utilizza proxy SSL di destinazione globali, anche nel livello Standard.
Certificati SSL gestore certificati
La tabella seguente mostra quali bilanciatori del carico Google Cloud supportano i certificati autogestiti di Gestore certificati o gestiti da Google o entrambi.
| Bilanciatore del carico | Certificato gestito da Google | Certificato autogestito | ||
|---|---|---|---|---|
| Autorizzazione DNS | Autorizzazione bilanciatore del carico | Certificate Authority Service (servizio CA) | ||
| Bilanciatore del carico delle applicazioni esterno globale | info |
info |
info |
info |
| Bilanciatore del carico delle applicazioni classico | info |
info |
info |
info |
| Bilanciatore del carico di rete proxy esterno globale | info |
info |
info |
info |
| Bilanciatore del carico delle applicazioni interno tra regioni | info |
info |
info |
|
| Bilanciatore del carico delle applicazioni esterno regionale | info |
info |
info |
|
| Bilanciatore del carico delle applicazioni interno regionale | info |
info |
info |
|
Più certificati SSL
Puoi utilizzare lo stesso proxy HTTPS di destinazione o il proxy SSL di destinazione per ospitare più certificati, comuni quando il bilanciatore del carico supporta più nomi di dominio. Puoi configurare una singola regola di forwarding (un singolo indirizzo IP e una porta) per fare riferimento a un proxy di destinazione comune oppure puoi configurare più regole di forwarding (indirizzi IP e porte diversi) per fare riferimento a un proxy di destinazione comune.
Più risorse del certificato SSL di Compute Engine
Quando utilizzi le risorse dei certificati SSL di Compute Engine, ogni risorsa proxy di destinazione può fare riferimento a un numero massimo di certificati SSL non configurabile per proxy SSL di destinazione o HTTPS di destinazione. Per ulteriori informazioni, consulta Pool di destinazione e proxy di destinazione nella documentazione sulle quote e sui limiti del bilanciamento del carico.
La prima risorsa di certificato SSL di Compute Engine a cui fa riferimento il proxy di destinazione di un bilanciatore del carico è considerata il certificato predefinito (principale) per il bilanciatore del carico.
Più certificati SSL con Gestore certificati
Quando utilizzi Gestore certificati con una mappa di certificati su un bilanciatore del carico, ogni risorsa proxy di destinazione fa riferimento a una singola mappa di certificati. Una mappa di certificati fa riferimento a una o più voci di certificati ed è possibile configurare la voce di certificato da utilizzare come certificato predefinito (principale) per la mappa. È possibile configurare il numero di mappe, voci e certificati di Gestore certificati per le quote per progetto. Per ulteriori informazioni, consulta Quote delle risorse nella documentazione di Certificate Manager.
Se utilizzi un bilanciatore del carico che supporta Gestore certificati e devi ospitare più di alcuni certificati SSL per proxy di destinazione, assicurati di utilizzare Gestore certificati anziché le risorse dei certificati SSL di Compute Engine.
Metodo di selezione dei certificati
Dopo che un client si è connesso a un bilanciatore del carico HTTP(S) o proxy SSL, il client e il bilanciatore del carico negoziano una sessione TLS. Durante la negoziazione della sessione TLS, il client invia al bilanciatore del carico un elenco di crittografie TLS che supporta (nel ClientHello). Il bilanciatore del carico seleziona un certificato il cui algoritmo di chiave pubblica è compatibile con il client. Nell'ambito di questa negoziazione, il client può anche inviare un nome host
SNI (Server Name Indication) al bilanciatore del carico. I dati del nome host SNI vengono talvolta utilizzati per aiutare il bilanciatore del carico a scegliere il certificato da inviare al client.
Puoi modellare il processo che i bilanciatori del carico del proxy di Google Cloud utilizzano per selezionare un certificato da inviare a un client nel seguente modo. Nel modello, inizia con tutti i certificati SSL configurati sul proxy HTTPS di destinazione o sul proxy SSL di destinazione, indipendentemente dal metodo di configurazione.
Il bilanciatore del carico seleziona un singolo candidato per il certificato:
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a una sola risorsa di certificato SSL di Compute Engine o se il proxy di destinazione di un bilanciatore del carico fa riferimento a una mappa di Certificate Manager con una sola voce di certificato, il bilanciatore del carico utilizza l'unico certificato configurato come candidato del certificato. Il valore del nome host SNI (se fornito) non influisce affatto sul bilanciatore del carico. Vai al passaggio 2.
Se il proxy di destinazione di un bilanciatore del carico fa riferimento a due o più risorse di certificato SSL di Compute Engine oppure se il proxy di destinazione di un bilanciatore del carico fa riferimento a una mappa di Gestore certificati con due o più voci di certificato, il bilanciatore del carico utilizza la seguente procedura per selezionare un singolo certificato:
Se il client non invia alcun nome host SNI nel campo
ClientHello, il bilanciatore del carico utilizza il certificato SSL predefinito (principale) come candidato per il certificato. Vai al passaggio 2.Se il client invia un nome host SNI che non corrisponde al nome comune (CN) del certificato e non corrisponde a un nome alternativo (SAN) del soggetto del certificato, il bilanciatore del carico utilizza il certificato SSL predefinito (principale) come candidato per il certificato. Vai al passaggio 2.
Il bilanciatore del carico seleziona un certificato candidato che corrisponde al nome host SNI inviato dal client. La corrispondenza avviene mediante un prefisso più lungo rispetto agli attributi dei certificati del nome comune (CN) e del nome alternativo del soggetto (SAN), con una preferenza per i certificati ECDSA rispetto ai certificati RSA. Per illustrare il metodo di corrispondenza, considera un proxy di destinazione che fa riferimento a un certificato il cui CN è
cats.pets.example.come un altro certificato il cui CN èdogs.pets.example.com. Oltre a includere ogni valore CN nelle proprie SAN, ciascun certificato include*.pets.example.come*.example.comnelle sue SAN.- Se il nome host SNI fornito è
cats.pets.example.com, il bilanciatore del carico utilizza il certificato il cui CN ècats.pets.example.comcome candidato per il certificato. Vai al passaggio 2. - Se il nome host SNI fornito è
ferrets.pets.example.com, il bilanciatore del carico utilizza uno dei due certificati come candidato del certificato perché entrambi i certificati configurati hanno SAN che includono*.pets.example.com. In questa situazione non puoi controllare quale dei due certificati diventa il certificato candidato. Vai al passaggio 2.
- Se il nome host SNI fornito è
Il certificato candidato viene inviato al client se il candidato utilizza un algoritmo di chiave pubblica compatibile con una delle crittografie dichiarate del client.
- La negoziazione TLS può non riuscire se il client non supporta una suite di crittografia che include l'algoritmo a chiave pubblica (ECDSA o RSA) del certificato.
- Il bilanciatore del carico non utilizza gli attributi
notValidBeforeenotValidAfterdel certificato come parte del metodo di selezione dei candidati. Ad esempio, il bilanciatore del carico può gestire un certificato scaduto se il certificato scaduto è stato selezionato come candidato.
Prezzi
Ti vengono addebitati costi di rete quando utilizzi i bilanciatori del carico Google Cloud. Per saperne di più, consulta Tutti i prezzi di networking. Per i prezzi di Gestore certificati, consulta la sezione Prezzi nella documentazione di Gestore certificati. Non sono previsti costi aggiuntivi per l'utilizzo delle risorse del certificato SSL di Compute Engine.
Passaggi successivi
Per ulteriori informazioni sui certificati SSL di Compute Engine, consulta le seguenti pagine:
- Per ulteriori informazioni sui certificati SSL autogestiti di Compute Engine, consulta Utilizzare i certificati SSL autogestiti.
- Per ulteriori informazioni sui certificati SSL di Compute Engine gestiti da Google, consulta Utilizzare i certificati SSL gestiti da Google.
- Per informazioni su quote e limiti (incluse le lunghezze delle chiavi supportate) per i certificati SSL di Compute Engine, consulta Certificati SSL e Pool di destinazione e proxy di destinazione nella documentazione del bilanciatore del carico.
Per ulteriori informazioni su Gestore certificati, consulta le seguenti pagine:
- Panoramica di Gestore certificati.
- Per ulteriori informazioni sui certificati SSL autogestiti e su Gestore certificati, vedi Caricare un certificato autogestito nella documentazione di Gestore certificati o Eseguire il deployment di un certificato autogestito per un tutorial end-to-end.
- Per ulteriori informazioni sui certificati SSL gestiti da Google e su Gestore certificati, consulta Gestione dei certificati nella documentazione di Gestore certificati.
- Per informazioni su quote e limiti per Gestore certificati, consulta Quote delle risorse nella documentazione di Gestore certificati.
Per informazioni dettagliate su come configurare i certificati SSL per i bilanciatori del carico proxy gestiti da GKE, consulta la pagina relativa al bilanciamento del carico di GKE Ingress per il bilanciamento del carico HTTP(S), la documentazione relativa all'API GKE Gateway e il bilanciamento del carico nativo del container tramite NEG autonomi a livello di zona.
Per maggiori dettagli sui bilanciatori del carico e sulla crittografia dei dati in transito, consulta il white paper Crittografia nei backend e Crittografia dei dati in transito in Google Cloud.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente