Descripción general de los certificados SSL

La seguridad de la capa de transporte (TLS) es un protocolo de encriptación que se usa en los certificados SSL para proteger las comunicaciones de red.

Google Cloud usa certificados SSL para proporcionar privacidad y seguridad desde un cliente a un balanceador de cargas. Para lograrlo, el balanceador de cargas debe tener un certificado SSL y la clave privada correspondiente del certificado. La comunicación entre el cliente y el balanceador de cargas sigue siendo privada, por lo que es ilegible para cualquier tercero que no tenga esta clave privada.

Balanceadores de cargas

En la siguiente tabla, se resumen los tipos de balanceadores de cargas de Google Cloud que requieren certificados SSL.

Tipo de balanceador de cargas Protocolo del cliente al balanceador de cargas
Balanceadores de cargas HTTPS internos HTTPS o HTTP/2
Balanceadores de cargas HTTPS externos HTTPS o HTTP/2
Balanceadores de cargas de proxy SSL SSL (TLS)

Certificados SSL autoadministrados y administrados por Google

Puedes obtener tus propios certificados autoadministrados o puedes usar certificados administrados por Google, que Google obtiene y administra.

  • Los certificados SSL autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo. Este tipo puede ser cualquiera de los siguientes certificados:

    • Validación de dominio (DV)
    • Validación de organización (OV)
    • Validación extendida (EV)

    Para obtener más información, consulta Certificado de clave pública.

  • Los certificados SSL administrados por Google son certificados que Google Cloud obtiene y administra para tus dominios, y los renueva de manera automática. Los certificados administrados por Google son certificados de validación de dominio (DV). No demuestran la identidad de una organización o de un individuo asociados con el certificado, y no admiten nombres comunes comodín.

Para el balanceador de cargas HTTP(S) externo y de proxy SSL, puedes hacer referencia en un proxy de destino a ambos tipos de certificados SSL, al certificado administrado por Google o al autoadministrado. Se puede hacer referencia a los certificados en cualquier orden. Para el balanceador de cargas HTTP(S) interno, debes usar certificados autoadministrados.

Si deseas obtener información sobre la configuración de certificados SSL para tus balanceadores de cargas, consulta las siguientes guías:

Varios certificados SSL

Puedes configurar hasta la cantidad máxima de certificados SSL por HTTPS o proxy SSL de destino. Usa varios certificados SSL cuando entregues desde varios dominios con la misma dirección IP y puerto del balanceador de cargas, y usa un certificado SSL diferente para cada dominio.

Cuando específicas más de un certificado SSL, el primero de la lista de certificados SSL se considera el certificado SSL principal asociado con el proxy de destino.

Cuando un cliente envía una solicitud, el balanceador de cargas usa el nombre de host de SNI que especificó el cliente a fin de seleccionar el certificado que se usará para negociar la conexión SSL.

Siempre que sea posible, el balanceador de cargas selecciona un certificado cuyo nombre común (CN) o nombre alternativo del sujeto (SAN) coincida con el nombre de host de SNI que especificó el cliente. RSA y ECDSA son tipos de firmas digitales, y el software del cliente debe poder usarlas.

Si no se puede seleccionar ninguno de los certificados disponibles, o si el cliente no especifica un nombre de host SNI, el balanceador de cargas negocia SSL con el certificado principal (el primer certificado de la lista).

Varios certificados SSL (haz clic para ampliar)
Varios certificados SSL (haz clic para ampliar)

Encriptación del balanceador de cargas a los backends

Si necesitas una conexión encriptada auditable desde el balanceador de cargas hasta las VM o extremos de backend, sigue estos pasos:

  • Configura los servicios de backend de tu balanceador de cargas para usar los protocolos SSL (TLS), HTTPS o HTTP2.
  • Configura el software que se ejecuta en los extremos o VM de backend, de modo que entregue tráfico con el mismo protocolo que el servicio de backend.
  • Instala certificados SSL en tus extremos o VM de backend. Estos certificados no tienen que coincidir con el certificado SSL del balanceador de cargas.

Ten en cuenta que los balanceadores de cargas de Google Cloud no realizan la validación de certificados cuando se comunican con los backends. Por ejemplo, el certificado se trata como válido, incluso en las siguientes circunstancias:

  • El certificado está autofirmado.
  • El certificado está firmado por una autoridad certificada (CA) desconocida.
  • El certificado caducó o aún no es válido.
  • Los atributos CN y subjectAlternativeName no coinciden con un encabezado Host ni un registro PTR de DNS.

Balanceadores de cargas, certificados SSL y proxies de destino

Un recurso de certificado SSL de Google Cloud contiene una clave privada y el certificado SSL.

Los proxies de destino representan la conexión lógica entre el frontend de un balanceador de cargas y su servicio de backend (en el caso de los balanceadores de cargas del proxy SSL) o el mapa de URL (en el caso de los balanceadores de cargas HTTPS).

En el siguiente diagrama, se muestra cómo el proxy de destino y sus certificados SSL asociados se ajustan a la arquitectura del balanceo de cargas.

Proxy de destino, certificado SSL y otros componentes del balanceador de cargas (haz clic para ampliar)
Proxy de destino, certificado SSL y otros componentes del balanceador de cargas (haz clic para ampliar)

Alcance de los certificados SSL

Google Cloud tiene dos alcances para los recursos de certificados SSL: regionales y globales.

Tipo de balanceador de cargas Alcance del recurso de certificado SSL Referencia de gcloud Referencia de API
Balanceadores de cargas HTTPS internos Regional gcloud compute ssl-certificates --region regionSslCertificates
Balanceadores de cargas HTTPS externos Global gcloud compute ssl-certificates --global sslCertificates
Balanceadores de cargas de proxy SSL Global gcloud compute ssl-certificates --global sslCertificates

Proxies objetivos

Los certificados SSL se asocian con los siguientes tipos de proxies de destino:

Tipo de balanceador de cargas Tipo de proxy de destino Referencia de gcloud Referencia de API
Balanceadores de cargas HTTPS internos Regional gcloud compute target-https-proxies --region regionTargetHttpsProxies
Balanceadores de cargas HTTPS externos Global gcloud compute target-https-proxies --global targetHttpsProxies
Balanceadores de cargas de proxy SSL Global gcloud compute target-ssl-proxies --global targetSslProxies

Limitaciones

  • Se admite una cantidad limitada de certificados SSL para cada proxy de destino. Para obtener más información, consulta el límite de certificados SSL por proxy SSL o HTTPS de destino.

  • Se admite una cantidad limitada de dominios para cada certificado administrado por Google. Para obtener más información, consulta el límite de dominios por certificado SSL administrado por Google.

  • Cuando usas certificados administrados por Google con balanceo de cargas de proxy SSL, la regla de reenvío del balanceador de cargas debe usar el puerto TCP 443 para que el certificado administrado por Google se renueve de manera automática.

  • Los balanceadores de cargas de Google Cloud no admiten la autenticación basada en certificados de cliente (TLS mutua, mTLS).

  • Los certificados SSL administrados por Google no admiten el uso de comodines.

Qué sigue