Menggunakan kebijakan SSL untuk protokol SSL dan TLS

Kebijakan SSL menentukan serangkaian fitur SSL yang digunakan load balancer Google Cloud saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.

Kebijakan SSL didukung dengan load balancer berikut:

  • Kebijakan SSL global
    • Load Balancer Aplikasi eksternal global
    • Load Balancer Aplikasi Klasik
    • Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
    • Load Balancer Aplikasi internal lintas region _shared/networking/_setting_up_l7_regional_serverless.md
  • Kebijakan SSL regional
    • Load Balancer Aplikasi eksternal regional
    • Load Balancer Aplikasi internal regional

Untuk mengetahui informasi selengkapnya tentang cara kerja kebijakan SSL, baca Ringkasan kebijakan SSL.

Anda dapat membuat dan mengelola kebijakan SSL menggunakan Google Cloud Console atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL, atau kapan saja setelah membuat load balancer.

Untuk mencantumkan, membuat, dan mengelola kebijakan SSL regional, pastikan Anda menjalankan gcloud CLI versi 404 atau yang lebih baru.

Membuat kebijakan SSL

Anda dapat membuat kebijakan SSL dengan profil yang dikelola Google atau dengan profil kustom.

Membuat kebijakan SSL dengan profil yang dikelola Google

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil yang dikelola Google, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan Nama.

  5. Pilih Versi TLS Minimum.

  6. Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.

  7. Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.

  8. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil yang dikelola Google, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Regional SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan Nama.

  5. Pilih Region.

  6. Pilih Versi TLS Minimum.

  7. Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.

  8. Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.

  9. Klik Create.

gcloud

Kebijakan SSL global

Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil yang dikelola Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED   \
    --min-tls-version 1.0 | 1.1 | 1.2

Perintah berikut akan membuat kebijakan SSL global dengan profil MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang dikelola Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Perintah berikut membuat kebijakan SSL regional dengan profil COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Membuat kebijakan SSL dengan profil kustom

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan Nama.

  5. Pilih Versi TLS Minimum.

  6. Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sisi kanan halaman.

  7. Dalam daftar Features, pilih setiap cipher suite yang ingin diaktifkan. Cipher suite yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.

  8. Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.

  9. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Regional SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan Nama.

  5. Pilih Region.

  6. Pilih Versi TLS Minimum.

  7. Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sisi kanan halaman.

  8. Dalam daftar Features, pilih setiap cipher suite yang ingin diaktifkan. Cipher suite yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.

  9. Jika ada load balancer tempat Anda ingin melampirkan kebijakan, klik Apply to targets lalu pilih aturan penerusan sebagai target kebijakan SSL. Jika diinginkan, tambahkan lebih banyak target.

  10. Klik Create.

gcloud

Saat Anda membuat kebijakan SSL dengan profil KUSTOM, hanya fitur yang Anda tentukan dalam perintah create yang didukung. Fitur lainnya tidak didukung.

Kebijakan SSL global

Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Contoh berikut membuat kebijakan SSL global dengan profil KUSTOM dengan versi TLS minimum 1.2 serta menampilkan TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Contoh berikut membuat kebijakan SSL regional dengan profil KUSTOM dengan versi TLS minimum 1.2 serta menampilkan TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Membuat daftar kebijakan SSL

Konsol

Di konsol Google Cloud, buka halaman Kebijakan SSL.

Buka kebijakan SSL

Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Scope menunjukkan apakah kebijakan SSL bersifat global atau regional.

gcloud

Untuk menampilkan kebijakan SSL global dan regional, jalankan:

  gcloud compute ssl-policies list

Untuk mencantumkan kebijakan SSL global saja, jalankan:

  gcloud compute ssl-policies list --global

Untuk mencantumkan hanya kebijakan SSL regional, jalankan:

  gcloud compute ssl-policies list --regions REGION

Mencantumkan fitur yang tersedia di kebijakan SSL

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan tercantum di sisi kanan halaman.

gcloud

Untuk menampilkan daftar fitur yang tersedia dalam kebijakan SSL global:

gcloud compute ssl-policies list-available-features

Untuk mencantumkan fitur yang tersedia dalam kebijakan SSL regional:

gcloud compute ssl-policies list-available-features \
    --region REGION

Mengubah kebijakan SSL

Konsol

Untuk mengubah kebijakan SSL global atau regional, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang ingin Anda ubah.

  3. Klik Edit.

  4. Buat perubahan yang Anda inginkan.

  5. Klik Save.

gcloud

Untuk mengubah kebijakan SSL yang sudah ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin diperbarui. Kolom yang tidak ditentukan tidak diperbarui.

Jika Anda mengupdate fitur, fitur yang diaktifkan sebelumnya akan dihapus dan diganti dengan fitur baru yang Anda tentukan.

Kebijakan SSL global

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Kebijakan SSL regional

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Membuat proxy target dengan kebijakan SSL

Konsol

Anda dapat membuat proxy target menggunakan Konsol Google Cloud saat membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:

gcloud

Untuk membuat proxy SSL target dengan kebijakan SSL global:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Memasang kebijakan SSL yang ada ke proxy target yang ada

Konsol

gcloud

Gunakan perintah ini untuk menambahkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.

Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Untuk memasang kebijakan SSL global yang ada ke proxy HTTPS target global:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Untuk memasang kebijakan SSL regional yang ada ke proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Jika Anda tidak memberikan tanda --ssl-policy atau tanda --clear-ssl-policy dalam update proxy target (misalnya, saat memperbarui sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy dijelaskan dalam Menghapus kebijakan SSL dari proxy target.

API

Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan metode targetHttpsProxies.patch.

Untuk menetapkan kebijakan SSL regional untuk proxy target regional, gunakan metode regionTargetHttpsProxies.patch.

Menghapus kebijakan SSL dari proxy target

Konsol

gcloud

Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau load balancer HTTPS. Jika Anda tidak memasang kebijakan SSL lain ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.

Untuk menghapus kebijakan SSL global dari proxy SSL target:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Jika Anda menambahkan flag --clear-ssl-policy dalam perintah update, kebijakan SSL akan dihapus dari proxy.

Jika Anda tidak memberikan tanda --clear-ssl-policy atau tanda --ssl-policy dalam update proxy target (misalnya, saat memperbarui sertifikat SSL), kebijakan SSL tidak akan berubah. Tanda --ssl-policy dijelaskan di Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

Batas

  • Anda dapat mengonfigurasi maksimum 10 kebijakan SSL per project.
  • Anda tidak dapat mengonfigurasi lebih dari satu kebijakan SSL per proxy.

Referensi API

Untuk deskripsi properti dan metode yang tersedia saat menangani kebijakan SSL melalui REST API, lihat artikel berikut:

Produk Dokumentasi API
  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi Klasik
  • Load Balancer Jaringan proxy eksternal
  • Load Balancer Aplikasi internal lintas region
sslPolicies
  • Load Balancer Aplikasi eksternal regional
  • Load Balancer Aplikasi internal regional
regionSslPolicies

Referensi gcloud CLI

Untuk referensi Google Cloud CLI, lihat referensi berikut:

Langkah selanjutnya