SSL-Zertifikate

Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll, das in SSL-Zertifikaten zum Schutz der Netzwerkkommunikation verwendet wird.

Google Cloud verwendet SSL-Zertifikate, um für einen Load-Balancer Datenschutz und Sicherheit von einem Client bereitzustellen. Dazu benötigt der Load-Balancer ein SSL-Zertifikat und den entsprechenden privaten Schlüssel des Zertifikats. Die Kommunikation zwischen dem Client und dem Load-Balancer bleibt privat und kann ohne diesen privaten Schlüssel von keinem Drittanbieter gelesen werden.

Selbstverwaltete und von Google verwaltete SSL-Zertifikate

Sie können eigene selbstverwaltete Zertifikate abrufen oder von Google verwaltete Zertifikate verwenden, die Google für Sie abruft und verwaltet.

  • Selbstverwaltete SSL-Zertifikate sind solche, die Sie selbst erwerben, bereitstellen und erneuern. Dieser Typ kann eines der folgenden Zertifikate sein:

    • Domain Validation (DV)
    • Organization Validation (OV)
    • Extended Validation (EV)

    Weitere Informationen finden Sie unter Public-Key-Zertifikat.

  • Von Google verwaltete SSL-Zertifikate sind Zertifikate, die Google Cloud für Ihre Domains abruft, verwaltet und automatisch erneuert. Von Google verwaltete Zertifikate sind DV-Zertifikate (Domain Validation). Sie zeigen nicht die Identität einer Organisation oder Person, die mit dem Zertifikat verknüpft ist, und sie unterstützen keine Common Names für Platzhalter.

In der folgenden Tabelle sind die Typen von Google Cloud-Load-Balancern zusammengefasst, für die SSL-Zertifikate und unterstützte Zertifikatstypen erforderlich sind.

Load-Balancer-Typ Protokoll vom Client zum Load-Balancer Unterstützter Zertifikatstyp
  • Globaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Globaler externer HTTP(S)-Load-Balancer (klassisch)
HTTPS oder HTTP/2 Von Google verwaltet, selbstverwaltet oder eine Kombination aus beidem
  • Regionaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Interner HTTP-Load-Balancer
HTTPS oder HTTP/2 Selbstverwaltet
SSL-Proxy-Load-Balancer SSL (TLS) Von Google verwaltet, selbstverwaltet oder eine Kombination aus beidem

Informationen zum Konfigurieren von SSL-Zertifikaten für Ihre Load-Balancer finden Sie in den folgenden Anleitungen:

Mehrere SSL-Zertifikate

Sie können bis zur Höchstzahl an SSL-Zertifikaten pro Ziel-HTTPS- oder Ziel-SSL-Proxy konfigurieren. Verwenden Sie mehrere SSL-Zertifikate, wenn Sie über mehrere Domains mit derselben Load-Balancer-IP-Adresse und demselben Load-Balancer-Port Daten bereitstellen und für jede Domain ein anderes SSL-Zertifikat verwenden möchten.

Wenn Sie mehr als ein SSL-Zertifikat angeben, gilt das erste Zertifikat in der Liste der SSL-Zertifikate als primäres SSL-Zertifikat, das dem Ziel-Proxy zugeordnet ist.

Wenn ein Client eine Anfrage sendet, verwendet der Load-Balancer den vom Client angegebenen SNI-Hostnamen, um das Zertifikat auszuwählen, das beim Aushandeln der SSL-Verbindung verwendet werden soll.

Wann immer möglich wählt der Load-Balancer ein Zertifikat aus, dessen Common Name (CN) oder Subject Alternative Name (SAN) dem SNI-Hostnamen entspricht, der vom Client angegeben wird. RSA und ECDSA sind digitale Signaturen, die von der Clientsoftware verwendet werden können.

Wenn der SNI-Hostname mit CNs oder SANs in mehr als einem Zertifikat übereinstimmt, basiert die Zertifikatsauswahl auf clientspezifischen und internen Faktoren, die nicht vorhergesagt werden können. Eines der Zertifikate, die mit dem SNI übereinstimmen, wird zurückgegeben. Der Load-Balancer kann auch das abgelaufene Zertifikat bereitstellen, wenn das abgelaufene Zertifikat noch mit dem Zielproxy verknüpft ist.

Wenn keines der verfügbaren Zertifikate ausgewählt werden kann oder der Client keinen SNI-Hostnamen angibt, handelt der Load-Balancer SSL unter Verwendung des primären Zertifikats aus (das erste Zertifikat in der Liste).

Mehrere SSL-Zertifikate (zum Vergrößern anklicken)
Mehrere SSL-Zertifikate (zum Vergrößern anklicken)

Verschlüsselung vom Load-Balancer zu den Back-Ends

Informationen zu diesem Thema finden Sie unter Verschlüsselung der Back-Ends.

Load-Balancer, SSL-Zertifikate und Ziel-Proxys

Eine Ressource für ein Google Cloud-SSL-Zertifikat enthält sowohl einen privaten Schlüssel als auch das SSL-Zertifikat.

Zielproxys bilden die logische Verbindung zwischen dem Front-End eines Load-Balancers und seinem Back-End-Dienst (bei SSL-Proxy-Load-Balancern) oder der URL-Zuordnung (bei HTTPS-Load-Balancern).

Das folgende Diagramm zeigt, wie der Ziel-Proxy und die zugehörigen SSL-Zertifikate in die Load-Balancing-Architektur passen.

Ziel-Proxy, SSL-Zertifikat und andere Komponenten des Load-Balancer (zum Vergrößern klicken)
Ziel-Proxy, SSL-Zertifikat und andere Komponenten des Load-Balancer (zum Vergrößern klicken)

SSL-Zertifikatsbereich

Google Cloud verfügt über zwei Bereiche für SSL-Zertifikatressourcen: regional und global.

Load-Balancer-Typ Umfang der SSL-Zertifikatsressource gcloud-Referenz API-Referenz
  • Globaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Globaler externer HTTP(S)-Load-Balancer (klassisch)
Global gcloud compute ssl-certificates --global sslCertificates
  • Regionaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Interner HTTP-Load-Balancer
Regional gcloud compute ssl-certificates --region regionSslCertificates
SSL-Proxy-Load-Balancer Global gcloud compute ssl-certificates --global sslCertificates

Für den globalen externen HTTP(S)-Load-Balancer (klassisch) und den SSL-Proxy-Load-Balancer sind globale SSL-Zertifikatsressourcen sowohl in der Standardstufe als auch in der Premium-Stufe erforderlich. Das bedeutet, dass in der Standardstufe eine regionale Weiterleitungsregel auf einen globalen Zielproxy verweist.

Zielproxys

SSL-Zertifikate sind den folgenden Arten von Zielproxys zugeordnet:

Load-Balancer-Typ Typ des Ziel-Proxys gcloud-Referenz API-Referenz
  • Globaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Globaler externer HTTP(S)-Load-Balancer (klassisch)
Global gcloud compute target-https-proxies --global targetHttpsProxies
  • Regionaler externer HTTP(S)-Load-Balancer (Vorschau)
  • Interner HTTP-Load-Balancer
Regional gcloud compute target-https-proxies --region regionTargetHttpsProxies
SSL-Proxy-Load-Balancer Global gcloud compute target-ssl-proxies --global targetSslProxies

Beschränkungen

  • Bei jedem Zielproxy wird eine begrenzte Anzahl von SSL-Zertifikaten unterstützt. Weitere Informationen finden Sie unter Limit für SSL-Zertifikate pro Ziel-HTTPS oder Ziel-SSL-Proxy.

  • Für jedes von Google verwaltete Zertifikat wird eine begrenzte Anzahl von Domains unterstützt. Weitere Informationen finden Sie unter Limit für Domains pro Google-verwaltetem SSL-Zertifikat.

  • Wenn Sie von Google verwaltete Zertifikate mit SSL-Proxy-Load-Balancing verwenden, muss die Weiterleitungsregel des Load-Balancers den TCP-Port 443 verwenden, damit das von Google verwaltete Zertifikat automatisch verlängert wird.

  • Google Cloud-Load-Balancer unterstützen keine auf Clientzertifikaten basierte Authentifizierung (gegenseitige TLS, mTLS).

  • Von Google verwaltete SSL-Zertifikate unterstützen keine Platzhalter.

Nächste Schritte

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten