Présentation des certificats SSL

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Transport Layer Security (TLS) est un protocole de chiffrement utilisé dans les certificats SSL pour protéger les communications réseau.

Google Cloud utilise des certificats SSL pour assurer la confidentialité et la sécurité entre un client et un équilibreur de charge. Pour ce faire, l'équilibreur de charge doit disposer d'un certificat SSL et de la clé privée correspondante. La communication entre le client et l'équilibreur de charge reste privée, et donc illisible par un tiers s'il ne possède pas cette clé privée.

Certificats SSL autogérés et gérés par Google

Vous pouvez obtenir vos propres certificats autogérés ou utiliser des certificats gérés par Google, que Google récupère et gère pour votre compte.

  • Les certificats SSL autogérés sont des certificats que vous obtenez, provisionnez et renouvelez vous-même. Ils peuvent faire partie des types de certificats suivants :

    • Validation de domaine (DV)
    • Validation de l'organisation (OV)
    • Validation étendue (EV)

    Pour plus d'informations, consultez l'article Wikipédia sur les certificats de clé publique.

  • Les certificats SSL gérés par Google sont des certificats que Google Cloud obtient et gère pour vos domaines. Ils sont renouvelés automatiquement. Les certificats gérés par Google sont des certificats de validation de domaine. Ils ne prouvent pas l'identité d'une organisation ou d'un individu associé au certificat, et ne sont pas compatibles avec les noms communs contenant des caractères génériques.

Le tableau suivant récapitule les types d'équilibreurs de charge Google Cloud qui nécessitent des certificats SSL et des types de certificat compatibles.

Type d'équilibreur de charge Protocole entre le client et l'équilibreur de charge Type de certificat compatible
  • Équilibreur de charge HTTP(S) externe global
  • Équilibreur de charge HTTP(S) externe global (classique)
HTTPS ou HTTP/2 Géré par Google, autogéré ou une combinaison des deux
  • Équilibreur de charge HTTP(S) externe régional
  • Équilibreur de charge HTTP(S) interne
HTTPS ou HTTP/2 Service autogéré
Équilibreur de charge proxy SSL externe SSL (TLS) Géré par Google, autogéré ou une combinaison des deux

Pour en savoir plus sur la configuration des certificats SSL pour vos équilibreurs de charge, consultez les guides suivants :

Gestionnaire de certificats

Si vous utilisez l'équilibreur de charge HTTP(S) externe global (classique) ou l'équilibreur de charge HTTP(S) externe global sur le niveau de service réseau Premium, vous pouvez utiliser le gestionnaire de certificats pour provisionner et gérer vos certificats SSL. Le Gestionnaire de certificats n'est pas soumis aux restrictions listées dans la section Limites de cette page. Le Gestionnaire de certificats n'est pas compatible avec d'autres types d'équilibreurs de charge.

Pour en savoir plus, consultez la page Présentation du Gestionnaire de certificats.

Utiliser plusieurs certificats SSL

Vous pouvez configurer plusieurs certificats SSL en fonction du nombre maximal de certificats SSL par proxy HTTPS ou SSL cible. Utilisez plusieurs certificats SSL lorsque vous diffusez des données à partir de plusieurs domaines en utilisant la même adresse IP et le même port d'équilibreur de charge, et que vous souhaitez utiliser un certificat SSL distinct pour chaque domaine.

Lorsque vous spécifiez plusieurs certificats SSL, le premier certificat de la liste des certificats SSL est considéré comme le principal certificat SSL associé au proxy cible.

Lorsqu'un client envoie une requête, l'équilibreur de charge utilise le nom d'hôte de l'indication du nom du serveur (SNI) spécifié par le client pour sélectionner le certificat à utiliser lors de la négociation de la connexion SSL. Dans la mesure du possible, l'équilibreur de charge sélectionne un certificat dont le nom commun (CN) ou l'autre nom de l'objet (SAN) correspond au nom d'hôte SNI spécifié par le client. Si vous utilisez des certificats RSA et ECDSA pour le nom d'hôte, l'équilibreur de charge sélectionne automatiquement un certificat pour la connexion, en fonction des capacités du client.

Lorsque le nom d'hôte SNI correspond aux CN ou aux SAN dans plusieurs certificats, la sélection du certificat est basée sur des facteurs spécifiques au client et internes qui ne peuvent pas être prédits. L'un des certificats correspondant au SNI est renvoyé. L'équilibreur de charge peut également diffuser le certificat arrivé à expiration si le certificat arrivé à expiration est toujours associé au proxy cible.

Si aucun des certificats disponibles ne peut être sélectionné ou si le client ne spécifie pas de nom d'hôte SNI, l'équilibreur de charge négocie la connexion SSL à l'aide du certificat principal (le premier certificat de la liste).

Utilisation de plusieurs certificats SSL (cliquez pour agrandir)
Utilisation de plusieurs certificats SSL (cliquez pour agrandir)

Chiffrement entre l'équilibreur de charge et les backends

Pour plus d'informations sur ce sujet, consultez la section Chiffrement vers les backends.

Équilibreurs de charge, certificats SSL et proxys cibles

Une ressource de certificat SSL Google Cloud contient à la fois une clé privée et le certificat SSL lui-même.

Les proxys cibles représentent la connexion logique entre l'interface d'un équilibreur de charge et son service de backend (pour les équilibreurs de charge proxy SSL externe) ou le mappage d'URL (pour les équilibreurs de charge HTTPS).

Le schéma suivant montre comment le proxy cible et les certificats SSL associés s'intègrent à l'architecture d'équilibrage de charge.

Proxy cible, certificat SSL et autres composants de l'équilibreur de charge (cliquez pour agrandir)
Proxy cible, certificat SSL et autres composants de l'équilibreur de charge (cliquez pour agrandir)

Champ d'application du certificat SSL

Google Cloud offre deux champs d'application pour les certificats SSL : régional et mondial.

Type d'équilibreur de charge Champ d'application de la ressource de certificat SSL Documentation de référence sur gcloud Document de référence sur les API
  • Équilibreur de charge HTTP(S) externe global
  • Équilibreur de charge HTTP(S) externe global (classique)
Monde gcloud compute ssl-certificates --global sslCertificates
  • Équilibreur de charge HTTP(S) externe régional
  • Équilibreur de charge HTTP(S) interne
Régionales gcloud compute ssl-certificates --region regionSslCertificates
Équilibreur de charge proxy SSL externe Une ressource mondiale gcloud compute ssl-certificates --global sslCertificates

Pour l'équilibreur de charge HTTP(S) externe global (classique) et l'équilibreur de charge proxy SSL externe, des ressources de certificats SSL mondiaux sont obligatoires pour les niveaux Standard et Premium. Cela signifie que, pour le niveau Standard, une règle de transfert régionale pointe vers un proxy cible mondial.

Proxy cibles

Les certificats SSL sont associés aux types de proxys cibles suivants :

Type d'équilibreur de charge Type de proxy cible Documentation de référence sur gcloud Document de référence sur les API
  • Équilibreur de charge HTTP(S) externe global
  • Équilibreur de charge HTTP(S) externe global (classique)
Monde gcloud compute target-https-proxies --global targetHttpsProxies
  • Équilibreur de charge HTTP(S) externe régional
  • Équilibreur de charge HTTP(S) interne
Régionales gcloud compute target-https-proxies --region regionTargetHttpsProxies
Équilibreur de charge proxy SSL externe Une ressource mondiale gcloud compute target-ssl-proxies --global targetSslProxies

Tarifs

Des frais de mise en réseau peuvent vous être facturés lorsque vous utilisez des équilibreurs de charge Google Cloud. Pour plus d'informations, consultez la page Tous les tarifs de mise en réseau. L'utilisation de certificats SSL autogérés et gérés par Google n'entraîne aucuns frais supplémentaires.

Limites

  • Un nombre limité de certificats SSL est accepté pour chaque proxy cible. Pour plus d'informations, consultez le nombre maximal de certificats SSL par proxy HTTPS ou SSL cible.

  • Un nombre limité de domaines est accepté pour chaque certificat géré par Google. Pour plus d'informations, consultez le nombre maximal de domaines par certificat SSL géré par Google.

  • Lorsque vous utilisez des certificats gérés par Google avec l'équilibrage de charge proxy SSL externe, la règle de transfert de l'équilibreur de charge doit utiliser le port TCP 443 pour renouveler automatiquement le certificat géré par Google.

  • Les équilibreurs de charge Google Cloud n'acceptent pas l'authentification basée sur un certificat client (authentification TLS mutuelle, mTLS).

  • Les certificats SSL gérés par Google ne sont pas compatibles avec les caractères génériques.

Étape suivante

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit