Usa i criteri SSL per i protocolli SSL e TLS

Console

Criterio SSL globale

Per creare un criterio SSL globale con un profilo gestito da Google, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic su Crea criterio.

3. Fai clic sul pulsante Crea accanto al Criterio SSL globale. Viene visualizzata la pagina Crea criterio.

4. Inserisci un Nome.

5. Seleziona una versione TLS minima.

6. In Profilo, seleziona Compatibile, Moderno o Con restrizioni. Le Funzionalità attivate e Funzionalità disattivate del profilo vengono visualizzate sul lato destro della pagina.

7. Se esiste un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del criterio SSL. Se vuoi, aggiungi altri target.

8. Fai clic su Crea.

Criterio SSL regionale

Per creare un criterio SSL a livello di regione con un profilo gestito da Google, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic su Crea criterio.

3. Fai clic sul pulsante Crea accanto al Criterio SSL regionale. Viene visualizzata la pagina Crea criterio.

4. Inserisci un Nome.

5. Seleziona una Regione.

6. Seleziona una versione TLS minima.

7. In Profilo, seleziona Compatibile, Moderno o Con restrizioni. Le Funzionalità attivate e Funzionalità disattivate del profilo vengono visualizzate sul lato destro della pagina.

8. Se esiste un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del criterio SSL. Se vuoi, aggiungi altri target.

9. Fai clic su Crea.

gcloud

Criterio SSL globale

Di seguito è riportata la sintassi generale per creare un criterio SSL globale con un profilo gestito da Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED   \
    --min-tls-version 1.0 | 1.1 | 1.2

Il seguente comando crea un criterio SSL globale con il profilo MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Criterio SSL regionale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL a livello di regione con un profilo gestito da Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Il seguente comando crea un criterio SSL a livello di regione con il profilo COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Console

Criterio SSL globale

Per creare un criterio SSL globale con un profilo personalizzato:

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic su Crea criterio.

3. Fai clic sul pulsante Crea accanto al Criterio SSL globale. Viene visualizzata la pagina Crea criterio.

4. Inserisci un Nome.

5. Seleziona una versione TLS minima.

6. Per Profilo, seleziona Personalizzato. Tutte le funzionalità sono contrassegnate come Funzionalità disattivate sul lato destro della pagina.

7. Nell'elenco Funzionalità, seleziona tutte le suite di crittografia che vuoi attivare. Le suite di crittografia attivate sono elencate come Funzionalità attivate.

8. Se esiste un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del criterio SSL. Se vuoi, aggiungi altri target.

9. Fai clic su Crea.

Criterio SSL regionale

Per creare un criterio SSL a livello di regione con un profilo personalizzato:

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic su Crea criterio.

3. Fai clic sul pulsante Crea accanto al Criterio SSL regionale. Viene visualizzata la pagina Crea criterio.

4. Inserisci un Nome.

5. Seleziona una Regione.

6. Seleziona una versione TLS minima.

7. Per Profilo, seleziona Personalizzato. Tutte le funzionalità sono contrassegnate come Funzionalità disattivate sul lato destro della pagina.

8. Nell'elenco Funzionalità, seleziona tutte le suite di crittografia che vuoi attivare. Le suite di crittografia attivate sono elencate come Funzionalità attivate.

9. Se esiste un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del criterio SSL. Se vuoi, aggiungi altri target.

10. Fai clic su Crea.

gcloud

Quando crei un criterio SSL con il profilo CUSTOM, sono supportate solo le funzionalità specificate nel comando create. Altre funzionalità non sono supportate.

Criterio SSL globale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL globale con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

L'esempio seguente crea un criterio SSL globale con il profilo PERSONALIZZATO, con una versione TLS minima pari a 1.2 e con TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Criterio SSL regionale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL a livello di regione con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

L'esempio seguente crea un criterio SSL a livello di regione con il profilo PERSONALIZZATO, con una versione TLS minima pari a 1.2 e con TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Console

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL

Puoi visualizzare un elenco di tutti i criteri SSL disponibili. Il campo Ambito indica se il criterio SSL è globale o a livello di regione.

gcloud

Per elencare i criteri SSL globali e a livello di regione, esegui:

  gcloud compute ssl-policies list

Per elencare solo i criteri SSL globali, esegui:

  gcloud compute ssl-policies list --global

Per elencare solo i criteri SSL a livello di regione, esegui:

  gcloud compute ssl-policies list --regions REGION

Console

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic sul nome della norma di cui vuoi visualizzare le funzionalità. Le suite di crittografia attivate e disattivate sono elencate sul lato destro della pagina.

gcloud

Per elencare le funzionalità disponibili nei criteri SSL globali:

gcloud compute ssl-policies list-available-features

Per elencare le funzionalità disponibili nei criteri SSL a livello di regione:

gcloud compute ssl-policies list-available-features \
    --region REGION

Console

Per modificare un criterio SSL globale o regionale, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Criteri SSL.

   Vai ai criteri SSL

2. Fai clic sul nome della norma che vuoi modificare.

3. Fai clic su Modifica.

4. Apporta le modifiche desiderate.

5. Fai clic su Salva.

gcloud

Per modificare un criterio SSL esistente, trasmetti uno o tutti i flag corrispondenti ai campi che desideri aggiornare. I campi non specificati non vengono aggiornati.

Se aggiorni le funzionalità, quelle attivate in precedenza vengono eliminate e sostituite da quelle nuove da te specificate.

Criteri SSL globali

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Criteri SSL a livello di regione

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Console

Puoi creare un proxy di destinazione utilizzando la console Google Cloud durante la creazione o l'aggiornamento del bilanciatore del carico, come illustrato nei seguenti documenti:

• Configura un bilanciatore del carico di rete proxy esterno con un proxy SSL di destinazione
• Configura un bilanciatore del carico delle applicazioni esterno globale
• Configura un bilanciatore del carico delle applicazioni classico
• Configura un bilanciatore del carico delle applicazioni esterno regionale
• Configura un bilanciatore del carico delle applicazioni interno regionale
• Configura un bilanciatore del carico delle applicazioni interno tra regioni

gcloud

Per creare un proxy SSL di destinazione con un criterio SSL globale:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

Per creare un proxy HTTPS di destinazione globale con un criterio SSL globale:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

Per creare un proxy HTTPS di destinazione a livello di regione con un criterio SSL a livello di regione:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Console

gcloud

Utilizza questi comandi per collegare un criterio SSL esistente a un proxy SSL o a un proxy HTTPS.

Per collegare un criterio SSL globale esistente a un proxy SSL di destinazione:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Per collegare un criterio SSL globale esistente a un proxy HTTPS di destinazione globale:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Per collegare un criterio SSL a livello di regione esistente a un proxy HTTPS di destinazione a livello di regione:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Se non fornisci il flag --ssl-policy o il flag --clear-ssl-policy in un aggiornamento del proxy di destinazione (ad esempio, durante l'aggiornamento di un certificato SSL), il criterio SSL rimarrà invariato. Il flag --clear-ssl-policy è descritto in Eliminare un criterio SSL da un proxy di destinazione.

API

Per impostare un criterio SSL globale per un proxy di destinazione globale, utilizza il metodo targetHttpsProxies.patch.

Per impostare un criterio SSL a livello di regione per un proxy di destinazione a livello di regione, utilizza il metodo regionTargetHttpsProxies.patch.

Console

gcloud

Utilizza questi comandi per rimuovere un criterio SSL da un proxy SSL o da un bilanciatore del carico HTTPS. Se non colleghi un criterio SSL diverso al proxy di destinazione, il bilanciatore del carico utilizza il criterio SSL predefinito. L'utilizzo del flag --clear-ssl-policy equivale a sostituire un criterio SSL con il criterio SSL predefinito.

Per rimuovere un criterio SSL globale da un proxy SSL di destinazione:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Per rimuovere un criterio SSL globale da un proxy HTTPS di destinazione globale:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Per rimuovere un criterio SSL a livello di regione da un proxy HTTPS di destinazione a livello di regione:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Quando fornisci il flag --clear-ssl-policy nel comando di aggiornamento, il criterio SSL viene rimosso dal proxy.

Se non fornisci il flag --clear-ssl-policy o il flag --ssl-policy nell'aggiornamento del proxy di destinazione (ad esempio, durante l'aggiornamento di un certificato SSL), il criterio SSL rimarrà invariato. Il flag --ssl-policy è descritto in Collega un criterio SSL esistente a un proxy di destinazione esistente.