SSL-Richtlinien für SSL- und TLS-Protokolle

SSL-Richtlinien geben die SSL-Features an, die Google Cloud-Load-Balancer beim Aushandeln von SSL mit Clients verwenden. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.

SSL-Richtlinien werden von den folgenden Load-Balancern unterstützt:

  • Globale SSL-Richtlinien
    • Globaler externer Application Load Balancer
    • Klassischer Application Load Balancer
    • Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)
    • Regionenübergreifender interner Application Load Balancer
  • Regionale SSL-Richtlinien
    • Regionaler externer Application Load Balancer
    • Regionaler interner Application Load Balancer

Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinien – Übersicht.

Sie können SSL-Richtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen und verwalten, wenn Sie einen HTTPS- oder SSL-Load-Balancer erstellen, oder nach dem Erstellen des Load-Balancers.

Wenn Sie regionale SSL-Richtlinien auflisten, erstellen und verwalten möchten, müssen Sie gcloud CLI Version 404 oder höher ausführen.

SSL-Richtlinien erstellen

Sie können SSL-Richtlinien mit von Google verwalteten Profilen oder mit einem benutzerdefinierten Profil erstellen.

SSL-Richtlinie mit einem von Google verwalteten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem von Google verwalteten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Mindestversion für TLS aus.

  6. Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  7. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  8. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem von Google verwalteten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Region aus.

  6. Wählen Sie eine Mindestversion für TLS aus.

  7. Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

gcloud

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem von Google verwalteten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2

Mit dem folgenden Befehl wird eine globale SSL-Richtlinie mit dem Profil MODERN erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Regionale SSL-Richtlinie

Hier sehen Sie die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem von Google verwalteten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Mit dem folgenden Befehl wird eine regionale SSL-Richtlinie mit dem Profil COMPATIBLE erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Mindestversion für TLS aus.

  6. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.

  7. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Region aus.

  6. Wählen Sie eine Mindestversion für TLS aus.

  7. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.

  8. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  9. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  10. Klicken Sie auf Erstellen.

gcloud

Wenn Sie eine SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT anlegen, werden nur die Features unterstützt, die Sie im Befehl create angeben. Andere Funktionen werden nicht unterstützt.

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Im folgenden Beispiel wird eine globale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 erstellt.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Regionale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Im folgenden Beispiel wird eine regionale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 erstellt.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

SSL-Richtlinien auflisten

Console

Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

SSL-Richtlinien aufrufen

Sie können eine Liste aller verfügbaren SSL-Richtlinien aufrufen. Das Feld Bereich gibt an, ob die SSL-Richtlinie global oder regional ist.

gcloud

Führen Sie folgenden Befehl aus, um sowohl globale als auch regionale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list

Führen Sie folgenden Befehl aus, um nur globale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list --global

Führen Sie folgenden Befehl aus, um nur regionale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list --regions REGION

In einer SSL-Richtlinie verfügbare Features auflisten

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden dann rechts auf der Seite aufgeführt.

gcloud

So listen Sie die in globalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features

So listen Sie die in regionalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features \
    --region REGION

SSL-Richtlinien ändern

Console

So ändern Sie eine globale oder regionale SSL-Richtlinie:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Nehmen Sie die gewünschten Änderungen vor.

  5. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.

Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.

Globale SSL-Richtlinien

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Regionale SSL-Richtlinien

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Zielproxy mit einer SSL-Richtlinie erstellen

Console

Sie können einen Zielproxy mithilfe der Google Cloud Console erstellen, wenn Sie den Load-Balancer erstellen oder aktualisieren, wie in den folgenden Dokumenten gezeigt:

gcloud

So erstellen Sie einen SSL-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

So erstellen Sie einen globalen HTTPS-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

So erstellen Sie einen regionalen HTTPS-Zielproxy mit einer regionalen SSL-Richtlinie:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen

Console

gcloud

Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen SSL- oder HTTPS-Proxy anzuhängen.

  • So finden Sie alle Projekte in Ihrer Organisation, die Ziel-SSL-Proxys haben:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetSslProxy
    
  • So finden Sie alle Projekte in Ihrer Organisation, die Ziel-HTTPS-Proxys haben:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetHttpsProxy
    
  • Verwenden Sie die Methode targetSslProxies.aggregatedList, um alle globalen SSL-Zielproxys in einem Projekt aufzulisten. Verwenden Sie dann den Abfrageparameter filter, um nach SSL-Ziel-Proxys zu suchen, die nicht auf eine SSL-Richtlinie verweisen.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    
  • Verwenden Sie die Methode targetHttpsProxies.aggregatedList, um alle globalen und regionalen HTTPS-Zielproxys in einem Projekt aufzulisten, wobei der Abfrageparameter includeAllScopes auf true festgelegt ist,. Verwenden Sie dann den Abfrageparameter filter, um nach HTTPS-Ziel-Proxys zu suchen, die nicht auf eine SSL-Richtlinie verweisen.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    
  • So hängen Sie eine vorhandene globale SSL-Richtlinie an einen Ziel-SSL-Proxy an:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    
  • So hängen Sie eine vorhandene globale SSL-Richtlinie an einen globalen Ziel-HTTPS-Proxy an:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    
  • So hängen Sie eine vorhandene regionale SSL-Richtlinie an einen regionalen HTTPS-Zielproxy an:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME \
        --region REGION
    

Wenn Sie eines der Flags --ssl-policy oder --clear-ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Das Flag --clear-ssl-policy wird unter SSL-Richtlinie von einem Zielproxy löschen beschrieben.

API

Verwenden Sie die Methode targetHttpsProxies.patch, um eine globale SSL-Richtlinie für einen globalen Zielproxy festzulegen.

Verwenden Sie die Methode regionTargetHttpsProxies.patch, um eine regionale SSL-Richtlinie für einen regionalen Zielproxy festzulegen.

SSL-Richtlinie von einem Zielproxy löschen

Console

gcloud

Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem SSL- oder HTTPS-Proxy zu entfernen. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet der Load-Balancer die Standard-SSL-Richtlinie. Die Verwendung des Flags --clear-ssl-policy entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.

So entfernen Sie eine globale SSL-Richtlinie von einem Ziel-SSL-Proxy:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

So entfernen Sie eine globale SSL-Richtlinie von einem globalen HTTPS-Zielproxy:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

So entfernen Sie eine regionale SSL-Richtlinie von einem regionalen Ziel-HTTPS-Proxy:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Wenn Sie im Update-Befehl das Flag --clear-ssl-policy angeben, wird die SSL-Richtlinie vom Proxy entfernt.

Wenn Sie eines der Flags --clear-ssl-policy und --ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.

Vorhandene, Zielproxys zugeordnete SSL-Richtlinien aktualisieren

Wenn Sie benutzerdefinierte Einschränkungen verwenden, um TLS-Funktionen einzuschränken, prüfen Sie manuell die TLS-Compliance in vorhandenen SSL-Richtlinien, die an Ziel-SSL-Proxys und Ziel-HTTPS-Proxys angehängt sind.

Führen Sie die folgenden Schritte aus, um SSL-Richtlinien zu ermitteln und zu aktualisieren, die Ihren Sicherheitszielen nicht entsprechen. Zum Suchen und Aktualisieren der Ressourcen können Sie Cloud Asset Inventory und Google APIs Explorer verwenden.

  • So finden Sie alle Projekte in Ihrer Organisation, die SSL-Richtlinienressourcen haben:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/SslPolicy
    
  • Verwenden Sie die Methode sslPolicies.aggregatedList, wobei der Abfrageparameter includeAllScopes auf true festgelegt ist, um alle globalen und regionalen SSL-Richtlinien in einem Projekt aufzulisten. Verwenden Sie dann den Abfrageparameter filter, um nach SSL-Richtlinien zu suchen, die nicht Ihren Sicherheitszielen entsprechen.

    Wenn Sie beispielsweise SSL-Richtlinien mit einer TLS-Version unter 1.2 suchen möchten, verwenden Sie den Filter minTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1":

    curl \
    
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    

    Informationen zum Abrufen Ihres API-Schlüssels finden Sie unter Mit API-Schlüsseln authentifizieren. Verwenden Sie die Methode projects.serviceAccounts.generateAccessToken, um Ihr Zugriffstoken abzurufen.

  • So aktualisieren Sie globale SSL-Richtlinien, die Ihren Sicherheitszielen nicht entsprechen:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
        --min-tls-version=TLS_1_2 \
        --global
    
  • So aktualisieren Sie regionale SSL-Richtlinien, die Ihre Sicherheitsziele nicht erfüllen:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
        --min-tls-version=TLS_1_2 \
        --region=REGION
    

Informationen zu Ziel-SSL- und -HTTPS-Proxys finden Sie unter Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen. Wiederholen Sie die Befehle, bis eine leere Antwort der Methode targetSslProxies.list oder targetHttpsProxies.aggregatedList angezeigt wird.

Limits

Siehe Kontingente und Limits für Load-Balancer.

API-Referenz

Eine Beschreibung der Attribute und Methoden, die Sie für SSL-Richtlinien über die REST API nutzen können, finden Sie unter:

Produkt API-Dokumentation
  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Regionsübergreifender interner Application Load Balancer
  • Globaler externer Proxy-Network Load Balancer
  • Klassischer Proxy-Network Load Balancer
sslPolicies
  • Regionaler externer Application Load Balancer
  • Regionaler interner Application Load Balancer
regionSslPolicies

Referenz zur gcloud-Befehlszeile

Informationen zur Google Cloud CLI finden Sie hier:

Nächste Schritte