Utiliser des règles SSL

Les règles SSL vous permettent de contrôler les fonctionnalités SSL que votre proxy SSL ou votre équilibreur de charge HTTPS négocie. Dans ce document, le terme "SSL" fait référence aux protocoles SSL et TLS.

Pour plus d'informations sur le fonctionnement des règles SSL, reportez-vous à la page Concepts des règles SSL.

Utiliser des règles SSL

Vous pouvez activer des règles SSL à l'aide de l'outil de ligne de commande gcloud lorsque vous créez un équilibreur de charge HTTPS ou SSL, ou à tout moment après la création de l'équilibreur de charges.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Créer des règles SSL

Vous pouvez créer des règles SSL à l'aide de l'outil de ligne de commande gcloud lorsque vous créez un équilibreur de charge HTTPS ou SSL, ou à tout moment après la création de l'équilibreur de charges.

Vous pouvez créer des règles SSL avec des profils gérés par Google ou avec un profil personnalisé.

Syntaxe à utiliser avec l'outil de ligne de commande gcloud

L'outil de ligne de commande gcloud utilise la syntaxe suivante pour la création de règles SSL :

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Créer une règle SSL avec un profil géré par Google

Console


Pour créer une règle SSL avec un profil géré par Google, procédez comme suit :

  1. Accédez à la page des règles SSL dans la console Google Cloud Platform.
    Accéder à la page des règles SSL
  2. Cliquez sur Créer une règle. La page Créer une règle s'affiche.
  3. Saisissez un Nom.
  4. Sélectionnez une Version minimale de TLS.
  5. Dans la section Profil, sélectionnez Compatible, Moderne ou Limité. Les Fonctionnalités activées et les Fonctionnalités désactivées pour le profil s'affichent sur le côté droit de la page.
  6. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Ajouter une cible et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si vous le souhaitez, ajoutez d'autres cibles.
  7. Cliquez sur Créer.

gcloud


La syntaxe générale est la suivante :

gcloud compute ssl-policies create [SSL_POLICY] \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

La commande suivante permet de créer une règle SSL avec le profil MODERNE :

gcloud compute ssl-policies create my_ssl_policy \
    --profile MODERN    \
    --min-tls-version 1.0

Les informations suivantes s'affichent ensuite :

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Créer une règle SSL avec un profil personnalisé

Console


Pour créer une règle SSL avec un profil personnalisé, procédez comme suit :

  1. Accédez à la page des règles SSL dans la console Google Cloud Platform.
    Accéder à la page des règles SSL
  2. Cliquez sur Créer une règle. La page Créer une règle s'affiche.
  3. Saisissez un Nom.
  4. Sélectionnez une Version minimale de TLS.
  5. Sous Profil, sélectionnez Personnalisé. Toutes les fonctionnalités sont affichées en tant que Fonctionnalités désactivées sur le côté droit de la page.
  6. Dans la liste Fonctionnalités, sélectionnez toutes les suites de chiffrement que vous souhaitez activer. Les suites de chiffrement activées sont maintenant répertoriées en tant que Fonctionnalités activées.
  7. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Ajouter une cible et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si vous le souhaitez, ajoutez d'autres cibles.
  8. Cliquez sur Créer.

gcloud


La commande suivante permet de créer une règle SSL avec le profil PERSONNALISÉ, une version minimale de TLS définie sur la version 1.2 et la prise en compte des fonctionnalités TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 et TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Lorsque vous créez une règle SSL avec le profil PERSONNALISÉ, seules les fonctionnalités que vous spécifiez dans la commande create sont acceptées. Les autres fonctionnalités ne sont pas prises en compte.

gcloud compute ssl-policies create my_custom_ssl_policy \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

Répertorier les fonctionnalités d'une règle SSL

Vous pouvez répertorier toutes les fonctionnalités d'une règle SSL à l'aide de la console ou de l'outil de ligne de commande gcloud.

Console


  1. Accédez à la page des règles SSL dans la console Google Cloud Platform.
    Accéder à la page des règles SSL
  2. Cliquez sur le nom de la règle dont vous souhaitez afficher les fonctionnalités. Les suites de chiffrement activées et désactivées sont répertoriées sur le côté droit de la page.

gcloud


Pour répertorier les fonctionnalités disponibles dans les règles SSL, procédez comme suit :

gcloud compute ssl-policies list-available-features

Modifier des règles SSL

Vous pouvez modifier des règles SSL à l'aide de la console ou de l'outil de ligne de commande gcloud.

Console


  1. Accédez à la page des règles SSL dans la console Google Cloud Platform.
    Accéder à la page des règles SSL
  2. Cliquez sur le nom de la règle que vous souhaitez modifier.
  3. Cliquez sur MODIFIER.
  4. Apportez les modifications souhaitées.
  5. Cliquez sur Save.

gcloud


Pour modifier une règle SSL existante, transmettez tout ou partie des options correspondant aux champs que vous souhaitez mettre à jour. Les champs non spécifiés ne sont pas mis à jour.

Si vous mettez à jour les fonctionnalités, celles que vous avez précédemment activées sont supprimées et remplacées par les fonctionnalités que vous spécifiez.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Créer un proxy SSL ou HTTPS cible avec une règle SSL

Pour créer un proxy SSL cible avec une règle SSL, procédez comme suit :

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Pour créer un proxy HTTPS cible avec une règle SSL, procédez comme suit :

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Associer une règle SSL existante à un proxy SSL ou HTTPS cible existant

Vous pouvez utiliser la console ou l'outil de ligne de commande gcloud pour associer une règle SSL existante à un proxy SSL ou HTTPS cible existant.

Console


  1. Dans la console Google Cloud Platform, accédez à la page Équilibrage de charge.
    Accéder à la page Équilibrage de charge
  2. Cliquez sur le nom de l'équilibreur de charge HTTPS ou SSL que vous souhaitez modifier.
  3. Cliquez sur MODIFIER.
  4. Cliquez sur Configuration du frontend.
  5. Cliquez sur l'interface à laquelle vous souhaitez attribuer une nouvelle règle SSL ou une autre règle SSL.
  6. Sous Règle SSL, sélectionnez la règle SSL à mettre à jour.
  7. Sélectionnez une autre règle SSL.
  8. Cliquez sur OK.
  9. Cliquez sur Mettre à jour. La page Détails de l'équilibreur de charge s'affiche.

gcloud


Utilisez ces commandes pour associer une règle SSL existante à un proxy SSL ou à un équilibreur de charge HTTPS :

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

Si vous ne spécifiez pas l'option --ssl-policy ou --clear-ssl-policy dans une commande de mise à jour d'un proxy cible (par exemple, lorsque vous mettez à jour un certificat SSL), la règle SSL n'est pas modifiée. L'option --clear-ssl-policy est décrite dans la section Supprimer une règle SSL d'un proxy SSL ou HTTPS cible existant.

Supprimer une règle SSL d'un proxy SSL ou HTTPS cible existant

Vous pouvez utiliser la console ou l'outil de ligne de commande gcloud pour supprimer une règle SSL existante d'un proxy SSL ou HTTPS cible existant.

Console


  1. Dans la console Google Cloud Platform, accédez à la page Équilibrage de charge.
    Accéder à la page Équilibrage de charge
  2. Cliquez sur le nom de l'équilibreur de charge HTTPS ou SSL que vous souhaitez modifier.
  3. Cliquez sur MODIFIER.
  4. Cliquez sur Configuration du frontend.
  5. Cliquez sur l'interface pour laquelle vous souhaitez supprimer la règle SSL.
  6. Sous Règle SSL, sélectionnez la règle SSL à mettre à jour.
  7. Sélectionnez une autre règle SSL.
  8. Cliquez sur OK.
  9. Cliquez sur Mettre à jour. La page Détails de l'équilibreur de charge s'affiche.

gcloud


Utilisez ces commandes pour supprimer une règle SSL d'un proxy SSL ou d'un équilibreur de charge HTTPS, en remplaçant NAME par le nom du proxy SSL ou HTTPS cible. Si vous n'associez pas une autre règle SSL au proxy cible, l'équilibreur de charge utilisera la règle SSL par défaut. L'utilisation de l'option "--clear-ssl-policy" équivaut au fait de remplacer une règle SSL par la règle SSL par défaut.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

Lorsque vous spécifiez l'option --clear-ssl-policy dans la commande de mise à jour, la règle SSL est supprimée du proxy.

Si vous ne spécifiez pas l'option --clear-ssl-policy ou --ssl-policy dans la commande de mise à jour du proxy cible (par exemple, lorsque vous mettez à jour un certificat SSL), la règle SSL n'est pas modifiée. L'option --ssl-policy est décrite dans la section Associer une règle SSL existante à un proxy SSL ou HTTPS cible existant.

Limites

  • Vous pouvez configurer jusqu'à 10 règles SSL par projet.
  • Vous ne pouvez pas configurer plus d'une règle SSL pour un proxy donné.

Problèmes connus

Les équilibreurs de charge pour lesquels aucune règle SSL n'est définie permettent à l'heure actuelle d'utiliser quatre suites de chiffrement qui ne sont pas utilisables lorsqu'une règle SSL est activée. Il s'agit des suites de chiffrement suivantes :

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Google a décidé d'abandonner progressivement la compatibilité de ses services avec ces suites de chiffrement. D'ici quelque temps, elles ne seront plus acceptées par aucun équilibreur de charge.

Étapes suivantes