SSL ポリシーの使用

SSL ポリシーを使用すると、SSL プロキシまたは HTTPS ロードバランサがネゴシエートする SSL の機能を管理できます。このドキュメントでは、「SSL」という用語は SSL プロトコルと TLS プロトコルの両方を指します。

SSL ポリシーの仕組みの詳細は、SSL ポリシーのコンセプトをご覧ください。

SSL ポリシーの使用

HTTPS ロードバランサまたは SSL ロードバランサの作成時や作成後はいつでも、gcloud コマンドライン ツールを使用して SSL ポリシーを有効にできます。

    gcloud compute ssl-policies create NAME \
        --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
        [--min-tls-version 1.0|1.1|1.2] \
        [--custom-features FEATURES]
    

SSL ポリシーの作成

HTTPS ロードバランサまたは SSL ロードバランサの作成時や作成後はいつでも、Console または gcloud コマンドライン ツールを使用して SSL ポリシー作成できます。

SSL ポリシーは、Google が管理するプロファイルまたはカスタム プロファイルを使用して作成できます。

gcloud コマンドライン ツールでの構文

gcloud コマンドライン ツールでは、次の構文を使用して SSL ポリシーを作成します。

    gcloud compute ssl-policies create NAME \
        --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
        [--min-tls-version 1.0|1.1|1.2] \
        [--custom-features FEATURES]
    

Google 管理のプロファイルを使用した SSL ポリシーの作成

Console


Google マネージド プロファイルを使用した SSL ポリシーを作成するには、次の手順を実行します。

  1. Google Cloud Console の [SSL ポリシー] ページに移動します。
    [SSL ポリシー] ページに移動
  2. [ポリシーを作成] をクリックします。[ポリシーの作成] ページが表示されます。
  3. [名前] を入力します。
  4. [TLS の最小バージョン] を選択します。
  5. [プロフィール] で [互換]、[モダン]、または [制限付き] を選択します。プロファイルの [有効な機能] と [無効な機能] がページの右側に表示されます。
  6. ポリシーを追加するロードバランサがある場合は、[ターゲットを追加] をクリックして、SSL ポリシーのターゲットとして転送ルールを選択します。必要であれば、さらにターゲットを追加します。
  7. [作成] をクリックします。

gcloud


一般的な構文は次のとおりです。

    gcloud compute ssl-policies create [SSL_POLICY] \
        --profile [COMPATIBLE|MODERN|RESTRICTED]   \
        --min-tls-version 1.0|1.1|1.2
    

以下の例では、MODERN プロファイルを使用して SSL ポリシーを作成します。

    gcloud compute ssl-policies create my_ssl_policy \
        --profile MODERN    \
        --min-tls-version 1.0
    

次が表示されます。

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
    PROFILE       MIN_TLS_VERSION
    MODERN        TLS_1_0

    ENABLED FEATURES:
    TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
    TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    

カスタム プロファイルを使用した SSL ポリシーの作成

Console


カスタム プロファイルを使用して SSL ポリシーを作成するには、次の手順を実行します。

  1. Google Cloud Console の [SSL ポリシー] ページに移動します。
    [SSL ポリシー] ページに移動
  2. [ポリシーを作成] をクリックします。[ポリシーの作成] ページが表示されます。
  3. [名前] を入力します。
  4. [TLS の最小バージョン] を選択します。
  5. [プロフィール] で [カスタム] を選択します。 すべての機能が、ページの右側の [無効な機能] に表示されます。
  6. [機能] のリストで、有効にする各暗号スイートを選択します。 有効にした暗号スイートは、[有効な機能] としてリストされます。
  7. ポリシーを追加するロードバランサがある場合は、[ターゲットを追加] をクリックして、SSL ポリシーのターゲットとして転送ルールを選択します。必要であれば、さらにターゲットを追加します。
  8. [作成] をクリックします。

gcloud


以下の例では、CUSTOM プロファイルを使用して SSL ポリシーを作成し、最小 TLS バージョン 1.2、および TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 の各機能を使用しています。

CUSTOM プロファイルを使用して SSL ポリシーを作成すると、create コマンドで指定した機能だけがサポートされます。他の機能はサポートされません。

    gcloud compute ssl-policies create NAME \
        --profile CUSTOM --min-tls-version 1.2 \
        --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
        "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
    

SSL ポリシー機能の一覧表示

Console または gcloud コマンドライン ツールを使用してすべての SSL ポリシー機能を一覧表示できます。

Console


  1. Google Cloud Console の [SSL ポリシー] ページに移動します。
    [SSL ポリシー] ページに移動
  2. 機能を表示するポリシーの名前をクリックします。有効な暗号スイートと無効な暗号スイートのリストがページの右側に表示されます。

gcloud


SSL ポリシーで使用可能な機能を一覧表示するには、次のコードを使用します。

    gcloud compute ssl-policies list-available-features
    

SSL ポリシーの変更

Console または gcloud コマンドライン ツールを使用して、SSL ポリシーを編集できます。

Console


  1. Google Cloud Console の [SSL ポリシー] ページに移動します。
    [SSL ポリシー] ページに移動
  2. 変更するポリシーの名前をクリックします。
  3. [編集] をクリックします。
  4. 必要な変更を行います。
  5. [保存] をクリックします。

gcloud


既存の SSL ポリシーを変更するには、更新するフィールドに対応するフラグのいずれかまたはすべてを渡します。未指定のフィールドは更新されません。

機能を更新すると、以前有効になっていた機能は削除され、指定した新しい機能に置き換えられます。

    gcloud compute ssl-policies update NAME \
        [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
        [--min-tls-version 1.0|1.1|1.2] \
        [--custom-features FEATURES]
    

SSL ポリシーを使用したターゲット SSL プロキシまたは HTTPS プロキシの作成

SSL ポリシーを使用してターゲット SSL プロキシを作成するには、次のコードを実行します。

    gcloud compute target-ssl-proxies create NAME \
        --backend-service BACKEND_SERVICE_NAME \
        --ssl-certificate SSL_CERTIFICATE_NAME \
        [--ssl-policy SSL_POLICY_NAME]
    

SSL ポリシーを使用してターゲット HTTPS プロキシを作成するには、次のコードを実行します。

    gcloud compute target-https-proxies create NAME \
        --ssl-certificate SSL_CERTIFICATE_NAME \
        --url-map URL_MAP_NAME \
        [--ssl-policy SSL_POLICY_NAME]
    

既存のターゲット SSL プロキシまたは HTTPS プロキシに既存の SSL ポリシーを追加

Console または gcloud コマンドライン ツール使用して、既存のターゲット SSL プロキシまたは HTTPS プロキシに既存の SSL ポリシーを追加できます。

Console


  1. Google Cloud Console で [負荷分散] ページに移動します。
    [負荷分散] ページに移動
  2. 変更する HTTPS または SSL ロードバランサの名前をクリックします。
  3. [編集] をクリックします。
  4. [フロントエンドの設定] をクリックします。
  5. 新規または別の SSL ポリシーを割り当てるフロントエンドをクリックします。
  6. [SSL ポリシー] で、更新する SSL ポリシーを選択します。
  7. 別の SSL ポリシーを選択します。
  8. [完了] をクリックします。
  9. [更新] をクリックします。[ロードバランサの詳細] ページが表示されます。

gcloud


SSL プロキシまたは HTTPS ロードバランサに既存の SSL ポリシーを追加するには、次のコマンドを使用します。

    gcloud compute target-ssl-proxies update NAME \
        --ssl-policy SSL_POLICY_NAME
    
    gcloud compute target-https-proxies update NAME \
        --ssl-policy SSL_POLICY_NAME
    

ターゲット プロキシ更新(たとえば SSL 証明書を更新するとき)では、--ssl-policy フラグや --clear-ssl-policy フラグを指定しないと、SSL ポリシーは変更されません。--clear-ssl-policy フラグについては、既存のターゲット SSL プロキシまたは HTTPS プロキシから SSL ポリシーを削除するをご覧ください。

既存のターゲット SSL プロキシまたは HTTPS プロキシから SSL ポリシーを削除

Console または gcloud コマンドライン ツールを使用して、既存のターゲット SSL プロキシまたはターゲット HTTPS プロキシから SSL ポリシーを削除できます。

Console


  1. Google Cloud Console で [負荷分散] ページに移動します。
    [負荷分散] ページに移動
  2. 変更する HTTPS または SSL ロードバランサの名前をクリックします。
  3. [編集] をクリックします。
  4. [フロントエンドの設定] をクリックします。
  5. SSL ポリシーを削除するフロントエンドをクリックします。
  6. [SSL ポリシー] で、更新する SSL ポリシーを選択します。
  7. 別の SSL ポリシーを選択します。
  8. [完了] をクリックします。
  9. [更新] をクリックします。[ロードバランサの詳細] ページが表示されます。

gcloud


SSL プロキシまたは HTTPS ロードバランサから SSL ポリシーを削除するには、次のコマンドを使用します。NAME はターゲット SSL または HTTPS プロキシの名前です。ターゲット プロキシに別の SSL ポリシーを追加しない場合、ロードバランサはデフォルトの SSL ポリシーを使用します。--clear-ssl-policy フラグを使用することは、SSL ポリシーをデフォルトの SSL ポリシーに置き換えることと同じです。

    gcloud compute target-ssl-proxies update NAME \
        --clear-ssl-policy
    
    gcloud compute target-https-proxies update NAME \
        --clear-ssl-policy
    

更新コマンドで --clear-ssl-policy フラグを指定すると、SSL ポリシーはプロキシから削除されます。

--clear-ssl-policy フラグや --ssl-policy フラグをターゲット プロキシ更新(たとえば SSL コマンドを更新するとき)で指定しないと、SSL ポリシーは変更されません。--ssl-policy フラグについては、既存のターゲット SSL プロキシまたは HTTP プロキシに既存の SSL ポリシーを追加をご覧ください。

上限

  • 1 プロジェクトにつき最大 10 の SSL ポリシーを設定できます。
  • 1 つのプロキシに複数の SSL ポリシーを構成することはできません。

次のステップ