SSL/TLS es el protocolo criptográfico más utilizado en Internet. Técnicamente, TLS es el sucesor de SSL, aunque los términos a veces se usan de manera indistinta, como en este documento.
La seguridad de la capa de transporte (TLS) se usa para encriptar información mientras se envía a través de una red, lo que proporciona privacidad entre un cliente y un servidor o un balanceador de cargas. Un balanceador de cargas de aplicaciones o un balanceador de cargas de red de proxy que usa SSL requiere al menos una clave privada y un certificado SSL.
Métodos de configuración de certificados
Google Cloud ofrece tres métodos de configuración de certificados para los balanceadores de cargas de aplicaciones que usan proxies HTTPS de destino y los balanceadores de cargas de red de proxy que usan proxies SSL de destino.
El proxy de destino hace referencia a los certificados SSL de Compute Engine: Con este método, el proxy de destino del balanceador de cargas puede hacer referencia a hasta 15 recursos de certificado SSL de Compute Engine. Cada recurso de certificado SSL de Compute Engine contiene la clave privada, el certificado correspondiente y, de forma opcional, los certificados de la AC.
El proxy de destino hace referencia a un mapa de certificados del Administrador de certificados: Con este método, el proxy de destino del balanceador de cargas hace referencia a un solo mapa de certificados. El mapa de certificados admite miles de entradas de forma predeterminada y puede escalar a millones de entradas. Cada entrada contiene datos de clave privada y certificado.
El proxy de destino hace referencia a los certificados del Administrador de certificados directamente: Con este método, el proxy de destino del balanceador de cargas puede hacer referencia a hasta 100 certificados del Administrador de certificados.
Compatibilidad con el balanceador de cargas
En la siguiente tabla, se muestran los métodos de configuración de certificados que admite cada balanceador de cargas.
| Balanceador de cargas | Método de configuración de certificados: Referencias de proxy de destino… | |||
|---|---|---|---|---|
| Certificados SSL de Compute Engine | Un mapa de certificados del Administrador de certificados | Certificados del Administrador de certificados directamente | ||
| Balanceadores de cargas de aplicaciones (proxies HTTPS de destino) | ||||
| Balanceador de cargas de aplicaciones externo global | Admite
certificados
globales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
| Balanceador de cargas de aplicaciones clásico | Admite
certificados
globales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
| Balanceador de cargas de aplicaciones externo regional | Admite
certificados
regionales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
| Balanceador de cargas de aplicaciones interno regional | Admite
certificados
regionales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
| Balanceador de cargas de aplicaciones interno entre regiones |
Administrado por el cliente Administrado por Google |
|||
| Balanceadores de cargas de red de proxy (proxies SSL de destino) | ||||
| Balanceador de cargas de red del proxy externo global | Admite
certificados
globales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
| Balanceador de cargas de red del proxy clásico | Admite
certificados
globales Autoadministrados Administrados por Google |
Administrado por el cliente Administrado por Google |
||
Reglas del método de configuración
Google Cloud aplica las siguientes reglas del método de configuración de certificados:
En el caso de los balanceadores de cargas que admiten certificados SSL de Compute Engine y mapas de certificados del Administrador de certificados, el proxy de destino del balanceador de cargas puede hacer referencia, de forma simultánea, a un mapa de certificados y a uno o más certificados SSL de Compute Engine. Sin embargo, en ese caso, se ignoran todos los certificados SSL de Compute Engine, y el balanceador de cargas solo usa los certificados del mapa de certificados.
En el caso de los balanceadores de cargas que admiten certificados SSL de Compute Engine y certificados del Administrador de certificados conectados directamente, el proxy de destino del balanceador de cargas solo se puede configurar para hacer referencia a hasta 15 certificados SSL de Compute Engine o hasta 100 certificados del Administrador de certificados, no a una combinación de ambos.
Tipos de certificados
Google Cloud admite certificados autoadministrados y administrados por Google.
Certificados SSL autoadministrados
Los certificados SSL autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo. Los certificados autoadministrados pueden ser de cualquiera de estos tipos de certificado de clave pública:
- Validación de dominio (DV)
- Validación de organización (OV)
- Validación extendida (EV)
Puedes crear certificados SSL autoadministrados con lo siguiente:
Recursos de certificados SSL de Compute Engine: Para obtener más información, consulta Usa certificados SSL autoadministrados.
Administrador de certificados: Para obtener más información, consulta lo siguiente:
Certificados SSL administrados por Google
Los certificados SSL administrados por Google son certificados que Google Cloudobtiene, administra y renueva automáticamente. Los certificados administrados por Google son siempre certificados de validación de dominio (DV). No demuestran la identidad de una organización o de un individuo asociados con el certificado.
El Administrador de certificados solo admite certificados administrados por Google con comodines cuando se usa la autorización de DNS.
Puedes crear certificados SSL administrados por Google con lo siguiente:
- Recursos de certificados SSL de Compute Engine: Solo los recursos
sslCertificatesglobales de Compute Engine admiten certificados SSL administrados por Google.regionSslCertificatesno los admite. Para obtener más información, consulta Usa certificados SSL administrados por Google. - Administrador de certificados: Para obtener más información, consulta la descripción general de la implementación.
Múltiples certificados SSL
Un balanceador de cargas de aplicaciones o un balanceador de cargas de red de proxy pueden alojar dos o más certificados SSL simultáneamente cuando su proxy de destino se configura con un método de configuración de certificados compatible. Como práctica recomendada, usa el Administrador de certificados cuando se necesiten varios certificados SSL.
En el caso de los balanceadores de cargas que admiten certificados SSL de Compute Engine, el proxy de destino del balanceador de cargas puede hacer referencia a hasta 15 certificados SSL de Compute Engine. El primer recurso de certificado SSL de Compute Engine al que se hace referencia es el certificado predeterminado (principal) para el proxy de destino.
En el caso de los balanceadores de cargas que admiten un mapa de certificados del Administrador de certificados, el proxy de destino del balanceador de cargas hace referencia a un solo mapa de certificados. El mapa de certificados admite miles de entradas. Puedes configurar la entrada de certificado que será el certificado predeterminado (principal) del mapa de certificados.
Para los balanceadores de cargas que admiten la referencia directa a los certificados del Administrador de certificados, el proxy de destino del balanceador de cargas puede hacer referencia a hasta 100 certificados del Administrador de certificados. El primer recurso de certificado SSL del Administrador de certificados al que se hace referencia es el certificado predeterminado (principal) para el proxy de destino.
Para obtener más información, consulte:
Proxy de destino y certificados SSL en la documentación del balanceador de cargas.
Cuotas y límites de recursos en la documentación del Administrador de certificados.
Proceso de selección de certificados
El siguiente proceso de selección de certificados se aplica a los balanceadores de cargas cuyos proxies de destino hacen referencia a varios certificados SSL de Compute Engine o a varios certificados del Administrador de certificados.
El proceso de selección de certificados es diferente si el proxy de destino de un balanceador de cargas hace referencia a un mapa de certificados del Administrador de certificados. Para obtener detalles sobre el proceso de selección de certificados de un mapa de certificados, consulta Lógica de selección de certificados en la documentación del Administrador de certificados.
Después de que un cliente se conecta al balanceador de cargas, el cliente y el balanceador de cargas negocian una sesión de TLS. Durante la negociación de sesión de TLS, el cliente envía al balanceador de cargas una lista de algoritmos de cifrado de TLS que admite (en ClientHello). El balanceador de cargas selecciona un certificado cuyo algoritmo de clave pública sea compatible con el cliente. El cliente también puede enviar un nombre de host de indicación del nombre del servidor (SNI) al balanceador de cargas como parte de esta negociación. Los datos de nombre de host de SNI a veces se usan para ayudar al balanceador de cargas a elegir qué certificado debe enviar al cliente.
Si el proxy de destino del balanceador de cargas hace referencia a un solo certificado, se usa ese certificado, y el valor del nombre de host de SNI que envía el cliente no es relevante.
Si el proxy de destino del balanceador de cargas hace referencia a dos o más certificados, el balanceador de cargas usa el siguiente proceso para seleccionar un certificado único:
Si el cliente no envió ningún nombre de host de SNI en su
ClientHello, el balanceador de cargas usa el primer certificado de su lista de certificados.Si el cliente envía un nombre de host de SNI que no coincide con ningún nombre común de certificado (CN) y no coincide con ningún nombre de sujeto alternativo de certificado (SAN), el balanceador de cargas usa el primer certificado de su lista de certificados.
En todos los demás casos, el balanceador de cargas selecciona un certificado con el siguiente proceso de coincidencia:
La coincidencia se aplica mediante el sufijo más largo en relación con los atributos de nombre común (CN) y de nombre alternativo de sujeto (SAN), con preferencia para los certificados de ECDSA en lugar de los RSA.
Para ilustrar el método de coincidencia, considera un proxy de destino que haga referencia a los siguientes dos certificados:
Certificado A
- CN:
cats.pets.example.com - SAN:
cats.pets.example.com,*.pets.example.comy*.example.com
- CN:
Certificado B
- CN:
dogs.pets.example.com - SAN:
dogs.pets.example.com,*.pets.example.comy*.example.com
- CN:
Ahora, considera las siguientes situaciones:
- Si el nombre de host de SNI que envió el cliente es
cats.pets.example.com, el balanceador de cargas usa el certificado A. - Si el nombre de host de SNI que envió el cliente es
ferrets.pets.example.com, no hay una coincidencia exacta, por lo que el balanceador de cargas selecciona el certificado A o el certificado B, ya que ambos incluyen*.pets.example.comen su lista de SAN. No puedes controlar qué certificado se selecciona en esta situación.
- Si el nombre de host de SNI que envió el cliente es
Después de seleccionar un certificado, el balanceador de cargas le envía ese certificado al cliente solo si el certificado seleccionado usa un algoritmo de clave pública que es compatible con un algoritmo de cifrado que envió el cliente en
ClientHello. La negociación de TLS falla si el cliente no admite un conjunto de algoritmos de cifrado que incluya el algoritmo de clave pública (ECDSA o RSA) del certificado que seleccionó el balanceador de cargas.
Precios
Generas cargos por las herramientas de redes cuando usas Google Cloud balanceadores de cargas. Para obtener más información, consulta Todos los precios de herramientas de redes. Para obtener más información sobre los precios del Administrador de certificados, consulta Precios en la documentación del Administrador de certificados. No se aplican cargos adicionales por usar recursos de certificados SSL de Compute Engine.
¿Qué sigue?
Pruébalo tú mismo
Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Comenzar gratis