SSL/TLS adalah protokol kriptografi yang paling banyak digunakan di internet. Secara teknis, TLS adalah penerus SSL, meskipun istilah tersebut terkadang digunakan secara bergantian, seperti dalam dokumen ini.
Transport Layer Security (TLS) digunakan untuk mengenkripsi informasi saat dikirim melalui jaringan, sehingga memberikan privasi antara klien dan server atau load balancer. Load balancer proxy Google Cloud yang aturan penerusannya mereferensikan proxy HTTPS target atau proxy SSL target memerlukan kunci pribadi dan sertifikat SSL sebagai bagian dari konfigurasi proxy target load balancer.
Metode konfigurasi sertifikat
Google Cloud menawarkan dua metode untuk mengonfigurasi sertifikat SSL untuk load balancer proxy HTTP(S) dan SSL. Kedua metode tersebut mendukung sertifikat SSL yang dikelola sendiri dan dikelola Google.
Resource sertifikat SSL Compute Engine: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal, Load Balancer Aplikasi eksternal regional, atau Load Balancer Aplikasi internal dikonfigurasi untuk mereferensikan resource sertifikat SSL Compute Engine. Resource sertifikat SSL berisi kunci pribadi, sertifikat yang sesuai, dan—secara opsional—sertifikat CA. Metode ini mendukung semua Network Service Tiers yang didukung oleh load balancer.
Pengelola Sertifikat: Dengan metode ini, proxy target untuk Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, atau Load Balancer Jaringan proxy eksternal dikonfigurasi untuk mereferensikan peta sertifikat. Peta sertifikat berisi satu atau beberapa entri sertifikat. Setiap entri sertifikat mereferensikan satu resource sertifikat Pengelola Sertifikat, dan setiap resource sertifikat berisi kunci pribadi dan sertifikat. Dengan Certificate Manager, proxy HTTPS target atau proxy SSL target dapat mereferensikan peta sertifikat dengan ribuan entri sertifikat SSL. Metode ini hanya tersedia jika load balancer menggunakan Premium Network Service Tier.
Untuk Load Balancer Aplikasi internal lintas region, Load Balancer Aplikasi internal regional, dan Load Balancer Aplikasi eksternal regional, sertifikat Pengelola Sertifikat dilampirkan ke proxy target. Peta sertifikat tidak didukung.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Tabel berikut menunjukkan berbagai jenis resource sertifikat yang dapat disertakan ke proxy HTTPS target atau proxy SSL target dari load balancer proxy Google Cloud. Sertifikat SSL Compute Engine dilampirkan langsung ke proxy target, sedangkan sertifikat SSL Certificate Manager dapat dilampirkan langsung ke proxy target atau melalui peta sertifikat.
Load balancer proxy | Sertifikat SSL Compute Engine | Sertifikat SSL Certificate Manager | |
---|---|---|---|
Dilampirkan ke proxy target melalui peta sertifikat | Dilampirkan langsung ke proxy target | ||
Load Balancer Aplikasi eksternal global (dengan proxy HTTPS) | |||
Load Balancer Aplikasi Klasik (dengan proxy HTTPS) | |||
Load Balancer Jaringan proxy eksternal global (dengan proxy SSL) | |||
Load Balancer Jaringan proxy klasik (dengan proxy SSL) | |||
Load Balancer Aplikasi internal lintas region (dengan proxy HTTPS) | |||
Load Balancer Aplikasi eksternal regional (dengan proxy HTTPS) | |||
Load Balancer Aplikasi internal regional (dengan proxy HTTPS) |
Jenis sertifikat
Anda dapat membuat sertifikat sendiri atau Google dapat mengelolanya untuk Anda:Sertifikat SSL yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri. Sertifikat yang dikelola sendiri dapat berupa salah satu jenis Sertifikat kunci publik berikut:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Sertifikat Validasi yang Diperluas (EV)
Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola sendiri, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
Untuk informasi selengkapnya tentang sertifikat SSL yang dikelola sendiri dan Certificate Manager, lihat Mengupload sertifikat yang dikelola sendiri dalam dokumentasi Certificate Manager atau Men-deploy sertifikat yang dikelola sendiri untuk tutorial terpadu.
Sertifikat SSL yang dikelola Google adalah sertifikat yang diperoleh, dikelola, dan diperpanjang secara otomatis oleh Google Cloud. Sertifikat yang dikelola Google selalu berupa sertifikat Validasi Domain (DV). Sertifikat ini tidak menunjukkan identitas organisasi atau individu yang terkait dengan sertifikat, dan tidak mendukung nama umum karakter pengganti.
Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola Google, lihat Menggunakan sertifikat SSL yang dikelola Google.
Certificate Manager mendukung sertifikat SSL yang dikelola Google menggunakan otorisasi load balancer, otorisasi DNS, dan integrasi dengan Certificate Authority Service. Untuk informasi selengkapnya tentang Pengelola Sertifikat sertifikat SSL yang dikelola Google, lihat Ringkasan deployment dalam dokumentasi Pengelola Sertifikat.
Sertifikat dan load balancer Google Cloud
Bagian berikut menjelaskan cara setiap Application Load Balancer mendukung metode konfigurasi sertifikat yang berbeda.
Sertifikat SSL Compute Engine
Tabel berikut menunjukkan load balancer Google Cloud yang mendukung sertifikat SSL Compute Engine yang dikelola sendiri atau sertifikat SSL Compute Engine yang dikelola Google, atau keduanya:
Dukungan sertifikat SSL Compute Engine | ||
---|---|---|
Load balancer | Dikelola sendiri | Dikelola oleh Google |
Load Balancer Aplikasi eksternal global * | sslCertificates |
sslCertificates |
Load Balancer Aplikasi Klasik * | sslCertificates |
sslCertificates |
Load Balancer Aplikasi eksternal regional † | regionSslCertificates |
|
Load Balancer Aplikasi internal regional † | regionSslCertificates |
|
Load Balancer Aplikasi internal lintas region * | ||
Load Balancer Jaringan proxy eksternal (dengan proxy SSL) ‡ | sslCertificates |
sslCertificates |
* Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi internal lintas region, dan Load Balancer Aplikasi klasik menggunakan proxy HTTPS target global, meskipun Load Balancer Aplikasi klasik menggunakan paket Standard.
† Load Balancer Aplikasi eksternal regional dan Load Balancer Aplikasi internal menggunakan proxy HTTPS target regional.
‡ Load Balancer Jaringan proxy eksternal menggunakan proxy SSL target global, bahkan di paket Standar.
Sertifikat SSL Certificate Manager
Tabel berikut menunjukkan load balancer Google Cloud yang mendukung sertifikat yang dikelola sendiri atau dikelola Google oleh Certificate Manager, atau keduanya.
Load balancer | Sertifikat yang dikelola Google | Sertifikat yang dikelola sendiri | ||
---|---|---|---|---|
Otorisasi DNS | Otorisasi load balancer | Certificate Authority Service (Layanan CA) | ||
Load Balancer Aplikasi eksternal global | info |
info |
info |
info |
Load Balancer Aplikasi Klasik | info |
info |
info |
info |
Load Balancer Jaringan proxy eksternal global | info |
info |
info |
info |
Load Balancer Aplikasi internal lintas region | info |
info |
info |
|
Load Balancer Aplikasi eksternal regional | info |
info |
info |
|
Load Balancer Aplikasi internal regional | info |
info |
info |
Beberapa sertifikat SSL
Anda dapat menggunakan proxy HTTPS target atau proxy SSL target yang sama untuk menghosting beberapa sertifikat, yang umum terjadi saat load balancer mendukung beberapa nama domain. Anda dapat mengonfigurasi satu aturan penerusan (satu alamat IP dan port) untuk mereferensikan proxy target umum, atau Anda dapat mengonfigurasi beberapa aturan penerusan (alamat IP dan port yang berbeda) untuk mereferensikan proxy target umum.
Beberapa resource sertifikat SSL Compute Engine
Saat menggunakan resource sertifikat SSL Compute Engine, setiap resource proxy target dapat mereferensikan hingga jumlah maksimum sertifikat SSL per proxy HTTPS target atau proxy SSL target yang tidak dapat dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Kumpulan target dan proxy target dalam dokumentasi kuota dan batas load balancing.
Resource sertifikat SSL Compute Engine pertama yang dirujuk oleh proxy target load balancer dianggap sebagai sertifikat default (utama) untuk load balancer.
Beberapa sertifikat SSL menggunakan Pengelola Sertifikat
Saat menggunakan Pengelola Sertifikat dengan peta sertifikat di load balancer, setiap resource proxy target mereferensikan satu peta sertifikat. Peta sertifikat mereferensikan satu atau beberapa entri sertifikat, dan Anda dapat mengonfigurasi entri sertifikat mana yang merupakan sertifikat default (utama) untuk peta. Jumlah peta, entri, dan sertifikat Pengelola Sertifikat adalah kuota per project yang dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Kuota resource dalam dokumentasi Pengelola Sertifikat.
Jika Anda menggunakan load balancer yang mendukung Pengelola Sertifikat dan perlu menghosting lebih dari beberapa sertifikat SSL per proxy target, pastikan Anda menggunakan Pengelola Sertifikat, bukan resource sertifikat SSL Compute Engine.
Metode pemilihan sertifikat
Setelah klien terhubung ke load balancer proxy HTTP(S) atau SSL, klien dan load balancer akan menegosiasikan sesi TLS. Selama negosiasi sesi TLS, klien mengirimkan daftar cipher TLS yang didukungnya ke load balancer (di
ClientHello
). Load balancer memilih sertifikat yang algoritma kunci publiknya
kompatibel dengan klien. Klien juga dapat mengirim nama host
server name indication (SNI) ke load balancer sebagai bagian dari negosiasi ini. Data nama host SNI
terkadang digunakan untuk membantu load balancer memilih sertifikat
yang akan dikirim ke klien.
Load balancer proxy Google Cloud mengikuti langkah-langkah yang diuraikan di bagian ini untuk memilih sertifikat dan mengirimkannya ke klien. Istilah "sertifikat SSL default (utama)", seperti yang digunakan dalam langkah-langkah berikut, mengacu pada sertifikat SSL Compute Engine pertama yang dirujuk oleh proxy target.
Load balancer memilih satu kandidat sertifikat:
Jika proxy target load balancer hanya mereferensikan satu resource sertifikat SSL Compute Engine, load balancer akan menggunakan satu-satunya sertifikat yang dikonfigurasi sebagai kandidat sertifikat. Nilai nama host SNI (jika disediakan) sama sekali tidak memengaruhi load balancer. Lanjutkan ke langkah 2.
Jika proxy target load balancer mereferensikan dua atau beberapa resource sertifikat SSL Compute Engine, load balancer akan menggunakan proses berikut untuk memilih kandidat sertifikat tunggal:
Jika klien tidak mengirim nama host SNI apa pun di
ClientHello
-nya, load balancer akan menggunakan sertifikat SSL default (utama) sebagai kandidat sertifikat. Lanjutkan ke langkah 2.Jika klien mengirim nama host SNI yang tidak cocok dengan nama umum (CN) sertifikat apa pun dan tidak cocok dengan nama alternatif subjek (SAN) sertifikat apa pun, load balancer akan menggunakan sertifikat SSL default (utama) sebagai kandidat sertifikat. Lanjutkan ke langkah 2.
Load balancer memilih kandidat sertifikat yang cocok dengan nama host SNI yang dikirim oleh klien. Pencocokan dilakukan dengan awalan terpanjang terhadap atribut sertifikat nama umum (CN) dan nama alternatif subjek (SAN), dengan preferensi untuk sertifikat ECDSA daripada sertifikat RSA. Untuk mengilustrasikan metode pencocokan, pertimbangkan proxy target yang mereferensikan satu sertifikat dengan CN
cats.pets.example.com
dan sertifikat lain dengan CNdogs.pets.example.com
. Selain menyertakan setiap nilai CN dalam SAN-nya, setiap sertifikat menyertakan*.pets.example.com
, dan*.example.com
dalam SAN-nya.- Jika nama host SNI yang diberikan adalah
cats.pets.example.com
, load balancer akan menggunakan sertifikat yang CN-nya adalahcats.pets.example.com
sebagai calon sertifikat. Lanjutkan ke langkah 2. - Jika nama host SNI yang diberikan adalah
ferrets.pets.example.com
, load balancer akan menggunakan salah satu dari dua sertifikat sebagai kandidat sertifikat karena kedua sertifikat yang dikonfigurasi memiliki SAN yang menyertakan*.pets.example.com
. Anda tidak dapat mengontrol manakah dari dua sertifikat yang menjadi kandidat sertifikat dalam situasi ini. Lanjutkan ke langkah 2.
- Jika nama host SNI yang diberikan adalah
Calon sertifikat dikirim ke klien jika calon sertifikat menggunakan algoritma kunci publik yang kompatibel dengan salah satu cipher yang dinyatakan klien.
- Negosiasi TLS dapat gagal jika klien tidak mendukung cipher suite yang menyertakan algoritma kunci publik (ECDSA atau RSA) dari sertifikat.
- Load balancer tidak menggunakan atribut
notValidBefore
dannotValidAfter
sertifikat sebagai bagian dari metode pemilihan kandidat. Misalnya, load balancer dapat menayangkan sertifikat yang sudah tidak berlaku jika sertifikat yang sudah tidak berlaku dipilih sebagai kandidat sertifikat.
Harga
Anda dikenai biaya jaringan saat menggunakan load balancer Google Cloud. Untuk informasi selengkapnya, lihat Semua harga jaringan. Untuk harga Certificate Manager, lihat Harga dalam dokumentasi Certificate Manager. Tidak ada biaya tambahan untuk menggunakan resource sertifikat SSL Compute Engine.
Langkah selanjutnya
Untuk mengetahui informasi selengkapnya tentang sertifikat SSL Compute Engine, lihat halaman berikut:
- Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola sendiri, lihat Menggunakan sertifikat SSL yang dikelola sendiri.
- Untuk informasi selengkapnya tentang sertifikat SSL Compute Engine yang dikelola Google, lihat Menggunakan sertifikat SSL yang dikelola Google.
- Untuk mempelajari kuota dan batas (termasuk panjang kunci yang didukung) untuk sertifikat SSL Compute Engine, lihat Sertifikat SSL dan Pembentukan grup target dan proxy target dalam dokumentasi load balancer.
Untuk informasi selengkapnya tentang Pengelola Sertifikat, lihat halaman berikut:
- Ringkasan Certificate Manager.
- Untuk informasi selengkapnya tentang sertifikat SSL yang dikelola sendiri dan Certificate Manager, lihat Mengupload sertifikat yang dikelola sendiri dalam dokumentasi Certificate Manager atau Men-deploy sertifikat yang dikelola sendiri untuk tutorial terpadu.
- Untuk informasi selengkapnya tentang sertifikat SSL yang dikelola Google dan Certificate Manager, lihat Mengelola sertifikat dalam dokumentasi Certificate Manager.
- Untuk mempelajari kuota dan batas untuk Pengelola Sertifikat, lihat Kuota resource dalam dokumentasi Pengelola Sertifikat.
Untuk mengetahui detail tentang cara mengonfigurasi sertifikat SSL untuk load balancer proxy yang dikelola oleh GKE, lihat GKE Ingress untuk Load Balancing HTTP(S), dokumentasi GKE Gateway API, dan Load balancing native container melalui NEG zona mandiri.
Untuk mengetahui detail tentang load balancer dan enkripsi dalam pengiriman, lihat Enkripsi ke backend dan laporan resmi Enkripsi dalam Pengiriman di Google Cloud.
Coba sendiri
Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
Mulai secara gratis