Transport Layer Security (TLS) est un protocole de chiffrement utilisé dans les certificats SSL pour protéger les communications réseau.
Google Cloud utilise des certificats SSL pour assurer la confidentialité et la sécurité entre un client et un équilibreur de charge. Pour ce faire, l'équilibreur de charge doit disposer d'un certificat SSL et de la clé privée correspondante. La communication entre le client et l'équilibreur de charge reste privée, et donc illisible par un tiers s'il ne possède pas cette clé privée.
Certificats SSL autogérés et gérés par Google
Vous pouvez obtenir vos propres certificats autogérés ou utiliser des certificats gérés par Google, que Google récupère et gère pour votre compte.
Les certificats SSL autogérés sont des certificats que vous obtenez, provisionnez et renouvelez vous-même. Ils peuvent faire partie des types de certificats suivants :
- Validation de domaine (DV)
- Validation de l'organisation (OV)
- Validation étendue (EV)
Pour plus d'informations, consultez l'article Wikipédia sur les certificats de clé publique.
Les certificats SSL gérés par Google sont des certificats que Google Cloud obtient et gère pour vos domaines. Ils sont renouvelés automatiquement. Les certificats gérés par Google sont des certificats de validation de domaine. Ils ne prouvent pas l'identité d'une organisation ou d'un individu associé au certificat, et ne sont pas compatibles avec les noms communs contenant des caractères génériques.
Le tableau suivant récapitule les types d'équilibreurs de charge Google Cloud qui nécessitent des certificats SSL et des types de certificat compatibles.
Type d'équilibreur de charge | Protocole entre le client et l'équilibreur de charge | Type de certificat compatible |
---|---|---|
|
HTTPS ou HTTP/2 | Géré par Google, autogéré ou une combinaison des deux |
|
HTTPS ou HTTP/2 | Service autogéré |
Équilibreur de charge proxy SSL externe | SSL (TLS) | Géré par Google, autogéré ou une combinaison des deux |
Pour en savoir plus sur la configuration des certificats SSL pour vos équilibreurs de charge, consultez les guides suivants :
Gestionnaire de certificats
Si vous utilisez l'équilibreur de charge HTTP(S) externe global (classique) ou l'équilibreur de charge HTTP(S) externe global sur le niveau de service réseau Premium, vous pouvez utiliser le gestionnaire de certificats pour provisionner et gérer vos certificats SSL. Le Gestionnaire de certificats n'est pas soumis aux restrictions listées dans la section Limites de cette page. Le Gestionnaire de certificats n'est pas compatible avec d'autres types d'équilibreurs de charge.
Pour en savoir plus, consultez la page Présentation du Gestionnaire de certificats.
Utiliser plusieurs certificats SSL
Vous pouvez configurer plusieurs certificats SSL en fonction du nombre maximal de certificats SSL par proxy HTTPS ou SSL cible. Utilisez plusieurs certificats SSL lorsque vous diffusez des données à partir de plusieurs domaines en utilisant la même adresse IP et le même port d'équilibreur de charge, et que vous souhaitez utiliser un certificat SSL distinct pour chaque domaine.
Lorsque vous spécifiez plusieurs certificats SSL, le premier certificat de la liste des certificats SSL est considéré comme le principal certificat SSL associé au proxy cible.
Lorsqu'un client envoie une requête, l'équilibreur de charge utilise le nom d'hôte de l'indication du nom du serveur (SNI) spécifié par le client pour sélectionner le certificat à utiliser lors de la négociation de la connexion SSL. Dans la mesure du possible, l'équilibreur de charge sélectionne un certificat dont le nom commun (CN) ou l'autre nom de l'objet (SAN) correspond au nom d'hôte SNI spécifié par le client. Si vous utilisez des certificats RSA et ECDSA pour le nom d'hôte, l'équilibreur de charge sélectionne automatiquement un certificat pour la connexion, en fonction des capacités du client.
Lorsque le nom d'hôte SNI correspond aux CN ou aux SAN dans plusieurs certificats, la sélection du certificat est basée sur des facteurs spécifiques au client et internes qui ne peuvent pas être prédits. L'un des certificats correspondant au SNI est renvoyé. L'équilibreur de charge peut également diffuser le certificat arrivé à expiration si le certificat arrivé à expiration est toujours associé au proxy cible.
Si aucun des certificats disponibles ne peut être sélectionné ou si le client ne spécifie pas de nom d'hôte SNI, l'équilibreur de charge négocie la connexion SSL à l'aide du certificat principal (le premier certificat de la liste).
Chiffrement entre l'équilibreur de charge et les backends
Pour plus d'informations sur ce sujet, consultez la section Chiffrement vers les backends.
Équilibreurs de charge, certificats SSL et proxys cibles
Une ressource de certificat SSL Google Cloud contient à la fois une clé privée et le certificat SSL lui-même.
Les proxys cibles représentent la connexion logique entre l'interface d'un équilibreur de charge et son service de backend (pour les équilibreurs de charge proxy SSL externe) ou le mappage d'URL (pour les équilibreurs de charge HTTPS). Vous pouvez associer le certificat SSL au proxy cible de l'équilibreur de charge lors de la création de l'équilibreur de charge ou à tout moment. Les modifications apportées aux certificats SSL ne modifient ni n'interrompent pas les connexions de l'équilibreur de charge existantes.
Le schéma suivant montre comment le proxy cible et les certificats SSL associés s'intègrent à l'architecture d'équilibrage de charge.
Champ d'application du certificat SSL
Google Cloud offre deux champs d'application pour les certificats SSL : régional et mondial.
Type d'équilibreur de charge | Champ d'application de la ressource de certificat SSL | Documentation de référence sur gcloud | Document de référence sur les API |
---|---|---|---|
|
Monde | gcloud compute ssl-certificates
--global
|
sslCertificates |
|
Régionales | gcloud compute ssl-certificates --region
|
regionSslCertificates |
Équilibreur de charge proxy SSL externe | Une ressource mondiale | gcloud compute ssl-certificates
--global
|
sslCertificates |
Pour l'équilibreur de charge HTTP(S) externe global (classique) et l'équilibreur de charge proxy SSL externe, des ressources de certificats SSL mondiaux sont obligatoires pour les niveaux Standard et Premium. Cela signifie que, pour le niveau Standard, une règle de transfert régionale pointe vers un proxy cible mondial.
Proxy cibles
Les certificats SSL sont associés aux types de proxys cibles suivants :
Type d'équilibreur de charge | Type de proxy cible | Documentation de référence sur gcloud | Document de référence sur les API |
---|---|---|---|
|
Monde | gcloud compute target-https-proxies
--global
|
targetHttpsProxies |
|
Régionales | gcloud compute target-https-proxies --region
|
regionTargetHttpsProxies |
Équilibreur de charge proxy SSL externe | Une ressource mondiale | gcloud compute target-ssl-proxies
--global
|
targetSslProxies |
Tarifs
Des frais de mise en réseau peuvent vous être facturés lorsque vous utilisez des équilibreurs de charge Google Cloud. Pour plus d'informations, consultez la page Tous les tarifs de mise en réseau. L'utilisation de certificats SSL autogérés et gérés par Google n'entraîne aucuns frais supplémentaires.
Limites
Un nombre limité de certificats SSL est accepté pour chaque proxy cible. Pour plus d'informations, consultez le nombre maximal de certificats SSL par proxy HTTPS ou SSL cible.
Un nombre limité de domaines est accepté pour chaque certificat géré par Google. Pour plus d'informations, consultez le nombre maximal de domaines par certificat SSL géré par Google.
Lorsque vous utilisez des certificats gérés par Google avec l'équilibrage de charge proxy SSL externe, la règle de transfert de l'équilibreur de charge doit utiliser le port TCP 443 pour renouveler automatiquement le certificat géré par Google.
Les équilibreurs de charge Google Cloud n'acceptent pas l'authentification basée sur un certificat client (authentification TLS mutuelle, mTLS).
Les certificats SSL gérés par Google ne sont pas compatibles avec les caractères génériques.
Étape suivante
- Pour utiliser des certificats SSL avec Kubernetes Engine, consultez la page sur l'équilibrage de charge HTTP(S) avec Ingress.
- Pour en savoir plus sur les longueurs de clé compatibles avec les clés privées, consultez la page sur les quotas et limites d'équilibrage de charge.
- Pour plus d'informations sur la façon dont Google chiffre le trafic des utilisateurs, consultez le livre blanc Chiffrement en transit dans Google Cloud.
- Pour savoir comment résoudre les problèmes liés aux certificats autogérés et gérés par Google, consultez la page Résoudre les problèmes liés aux certificats SSL.
- Pour savoir comment utiliser le Gestionnaire de certificats afin de provisionner et gérer les certificats SSL, consultez la page Présentation du Gestionnaire de certificats.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit