SSL-Richtlinien geben die SSL-Features an, die Google Cloud Load Balancer beim Aushandeln von SSL mit Clients verwenden. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.
SSL-Richtlinien werden von den folgenden Load-Balancern unterstützt:
- Globale SSL-Richtlinien
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)
- Regionenübergreifender interner Application Load Balancer
- Regionale SSL-Richtlinien
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinien – Übersicht.
Sie können SSL-Richtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen und verwalten, wenn Sie einen HTTPS- oder SSL-Load-Balancer erstellen, oder nach dem Erstellen des Load-Balancers.
SSL-Richtlinien erstellen
Sie können SSL-Richtlinien mit von Google verwalteten Profilen oder mit einem benutzerdefinierten Profil erstellen.
SSL-Richtlinie mit einem von Google verwalteten Profil erstellen
Globale SSL-Richtlinie
So erstellen Sie eine globale SSL-Richtlinie mit einem von Google verwalteten Profil:
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie eine Mindestversion für TLS aus.
Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
Regionale SSL-Richtlinie
So erstellen Sie eine regionale SSL-Richtlinie mit einem von Google verwalteten Profil:
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie eine Region aus.
Wählen Sie eine Mindestversion für TLS aus.
Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
Globale SSL-Richtlinie
Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem von Google verwalteten Profil:
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profileCOMPATIBLE | MODERN | RESTRICTED \ --min-tls-version1.0 | 1.1 | 1.2
Mit dem folgenden Befehl wird eine globale SSL-Richtlinie mit dem Profil MODERN
erstellt:
gcloud compute ssl-policies create my-ssl-policy \ --profile MODERN \ --min-tls-version 1.0
Regionale SSL-Richtlinie
Hier sehen Sie die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem von Google verwalteten Profil:
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profileCOMPATIBLE | MODERN | RESTRICTED \ --min-tls-version1.0 | 1.1 | 1.2 \ --regionREGION
Mit dem folgenden Befehl wird eine regionale SSL-Richtlinie mit dem Profil COMPATIBLE
erstellt:
gcloud compute ssl-policies create my-ssl-policy \ --profile COMPATIBLE \ --min-tls-version 1.1 \ --region us-west1
SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen
Globale SSL-Richtlinie
So erstellen Sie eine globale SSL-Richtlinie mit einem benutzerdefinierten Profil:
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie eine Mindestversion für TLS aus.
Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.
Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
Regionale SSL-Richtlinie
So erstellen Sie eine regionale SSL-Richtlinie mit einem benutzerdefinierten Profil:
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie eine Region aus.
Wählen Sie eine Mindestversion für TLS aus.
Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.
Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
Wenn Sie eine SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT anlegen, werden nur die Features unterstützt, die Sie im Befehl create
angeben. Andere Funktionen werden nicht unterstützt.
Globale SSL-Richtlinie
Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem benutzerdefinierten Profil:
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version1.0 | 1.1 | 1.2 \ --custom-featuresSSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]
Im folgenden Beispiel wird eine globale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
erstellt.
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Regionale SSL-Richtlinie
Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem benutzerdefinierten Profil:
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version1.0 | 1.1 | 1.2 \ --custom-featuresSSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \ --regionREGION
Im folgenden Beispiel wird eine regionale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
erstellt.
gcloud compute ssl-policies createSSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \ --region us-west1
SSL-Richtlinien auflisten
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Sie können eine Liste aller verfügbaren SSL-Richtlinien aufrufen. Im Feld Umfang wird angegeben, ob die SSL-Richtlinie global oder regional ist.
Führen Sie den folgenden Befehl aus, um sowohl globale als auch regionale SSL-Richtlinien aufzulisten:
gcloud compute ssl-policies list
Wenn Sie nur globale SSL-Richtlinien auflisten möchten, führen Sie Folgendes aus:
gcloud compute ssl-policies list --global
Wenn Sie nur regionale SSL-Richtlinien auflisten möchten, führen Sie Folgendes aus:
gcloud compute ssl-policies list --regionsREGION
In einer SSL-Richtlinie verfügbare Features auflisten
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden dann rechts auf der Seite aufgeführt.
So listen Sie die in globalen SSL-Richtlinien verfügbaren Features auf:
gcloud compute ssl-policies list-available-features
So listen Sie die in regionalen SSL-Richtlinien verfügbaren Features auf:
gcloud compute ssl-policies list-available-features \ --regionREGION
SSL-Richtlinien ändern
So ändern Sie eine globale oder eine regionale SSL-Richtlinie:
Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.
Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.
Klicken Sie auf Bearbeiten.
Nehmen Sie die gewünschten Änderungen vor.
Klicken Sie auf Speichern.
Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.
Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.
Globale SSL-Richtlinien
gcloud compute ssl-policies updateSSL_POLICY_NAME \ --profileCOMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version1.0|1.1|1.2 \ --custom-featuresFEATURES
Regionale SSL-Richtlinien
gcloud compute ssl-policies updateSSL_POLICY_NAME \ --profileCOMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version1.0|1.1|1.2 \ [--custom-featuresFEATURES \] --regionREGION
Zielproxy mit einer SSL-Richtlinie erstellen
Sie können einen Zielproxy mithilfe der Google Cloud Console erstellen, wenn Sie den Load-Balancer erstellen oder aktualisieren, wie in den folgenden Dokumenten gezeigt:
So erstellen Sie einen SSL-Zielproxy mit einer globalen SSL-Richtlinie:
gcloud compute target-ssl-proxies createTARGET_SSL_PROXY_NAME \ --backend-serviceBACKEND_SERVICE_NAME \ --ssl-certificateSSL_CERTIFICATE_NAME \ --ssl-policySSL_POLICY_NAME
So erstellen Sie einen globalen HTTPS-Zielproxy mit einer globalen SSL-Richtlinie:
gcloud compute target-https-proxies createTARGET_HTTPS_PROXY_NAME \ --ssl-certificateSSL_CERTIFICATE_NAME \ --url-mapURL_MAP_NAME \ --ssl-policySSL_POLICY_NAME
So erstellen Sie einen regionalen HTTPS-Zielproxy mit einer regionalen SSL-Richtlinie:
gcloud compute target-https-proxies createREGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-certificatesSSL_CERTIFICATE_NAME \ --url-mapURL_MAP_NAME \ --url-map-regionREGION \ --ssl-policySSL_POLICY_NAME \ --regionREGION
Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen
Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen SSL-Proxy oder einen HTTPS-Proxy anzuhängen.
So finden Sie alle Projekte in Ihrer Organisation, die Ziel-SSL-Proxys haben:
gcloud asset search-all-resources \ --scope=organizations/
ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetSslProxy
So finden Sie alle Projekte in Ihrer Organisation, die Ziel-HTTPS-Proxys haben:
gcloud asset search-all-resources \ --scope=organizations/
ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxy
Verwenden Sie die Methode
targetSslProxies.aggregatedList
, um alle globalen Ziel-SSL-Proxys in einem Projekt aufzulisten. Verwenden Sie dann den Abfrageparameterfilter
, um nach Ziel-SSL-Proxys zu suchen, die nicht auf eine SSL-Richtlinie verweisen.curl \ 'https://compute.googleapis.com/compute/v1/projects/
PROJECT_ID /global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY ' \ --header 'Authorization: BearerYOUR_ACCESS_TOKEN ' \ --header 'Accept: application/json' \ --compressed
Verwenden Sie die Methode
targetHttpsProxies.aggregatedList
, um alle globalen und regionalen Ziel-HTTPS-Proxys in einem Projekt aufzulisten, wobei der AbfrageparameterincludeAllScopes
auftrue
festgelegt ist. Verwenden Sie dann den Abfrageparameterfilter
, um nach Ziel-HTTPS-Proxys zu suchen, die nicht auf eine SSL-Richtlinie verweisen.curl \ 'https://compute.googleapis.com/compute/v1/projects/
PROJECT_ID /aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY ' \ --header 'Authorization: BearerYOUR_ACCESS_TOKEN ' \ --header 'Accept: application/json' \ --compressed
So hängen Sie eine vorhandene globale SSL-Richtlinie an einen Ziel-SSL-Proxy an:
gcloud compute target-ssl-proxies update
TARGET_SSL_PROXY_NAME \ --ssl-policySSL_POLICY_NAME So hängen Sie eine vorhandene globale SSL-Richtlinie an einen globalen Ziel-HTTPS-Proxy an:
gcloud compute target-https-proxies update
TARGET_HTTPS_PROXY_NAME \ --ssl-policySSL_POLICY_NAME
So hängen Sie eine vorhandene regionale SSL-Richtlinie an einen regionalen HTTPS-Zielproxy an:
gcloud compute target-https-proxies update
REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policySSL_POLICY_NAME \ --regionREGION
Wenn Sie eines der Flags --ssl-policy
oder --clear-ssl-policy
in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --clear-ssl-policy
finden Sie im Abschnitt SSL-Richtlinie von einem Zielproxy löschen.
Verwenden Sie die Methode targetHttpsProxies.patch
, um eine globale SSL-Richtlinie für einen globalen Zielproxy festzulegen.
Verwenden Sie die Methode regionTargetHttpsProxies.patch
, um eine regionale SSL-Richtlinie für einen regionalen Zielproxy festzulegen.
SSL-Richtlinie von einem Zielproxy löschen
Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem SSL-Proxy oder HTTPS-Proxy zu entfernen. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet der Load Balancer die Standard-SSL-Richtlinie. Die Verwendung des Flags --clear-ssl-policy
entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.
So entfernen Sie eine globale SSL-Richtlinie von einem Ziel-SSL-Proxy:
gcloud compute target-ssl-proxies updateTARGET_SSL_PROXY_NAME \ --clear-ssl-policy
So entfernen Sie eine globale SSL-Richtlinie von einem globalen HTTPS-Zielproxy:
gcloud compute target-https-proxies updateTARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy
So entfernen Sie eine regionale SSL-Richtlinie von einem regionalen Ziel-HTTPS-Proxy:
gcloud compute target-https-proxies updateREGIONAL_TARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy \ --regionREGION
Wenn Sie im Update-Befehl das Flag --clear-ssl-policy
angeben, wird die SSL-Richtlinie vom Proxy entfernt.
Wenn Sie eines der Flags --clear-ssl-policy
und --ssl-policy
in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy
finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.
SSL-Richtlinien verwalten
Wenn Sie benutzerdefinierte Einschränkungen verwenden, um TLS-Funktionen einzuschränken, prüfen Sie manuell die TLS-Compliance in vorhandenen SSL-Richtlinien, die an Ziel-SSL-Proxys und Ziel-HTTPS-Proxys angehängt sind.
Anhand der folgenden Schritte können Sie SSL-Richtlinien finden und aktualisieren, die nicht Ihren Sicherheitszielen entsprechen.
So finden Sie alle Projekte in Ihrer Organisation, die SSL-Richtlinienressourcen haben:
gcloud asset search-all-resources \ --scope=organizations/
ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicyVerwenden Sie die Methode
sslPolicies.aggregatedList
, um alle globalen und regionalen SSL-Richtlinien in einem Projekt aufzulisten, wobei der AbfrageparameterincludeAllScopes
auftrue
festgelegt ist. Verwenden Sie dann den Abfrageparameterfilter
, um nach SSL-Richtlinien zu suchen, die nicht Ihren Sicherheitszielen entsprechen.Wenn Sie beispielsweise SSL-Richtlinien mit einer TLS-Version unter
1.2
suchen möchten, verwenden Sie den FilterminTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1"
:curl \ 'https://compute.googleapis.com/compute/v1/projects/
PROJECT_ID /aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY ' \ --header 'Authorization: BearerYOUR_ACCESS_TOKEN ' \ --header 'Accept: application/json' \ --compressedInformationen zum Abrufen Ihres API-Schlüssels finden Sie unter Mit API-Schlüsseln authentifizieren. Verwenden Sie die Methode
projects.serviceAccounts.generateAccessToken
, um Ihr Zugriffstoken abzurufen.Aktualisieren Sie dann die SSL-Richtlinien, die die Mindest-TLS-Anforderung nicht erfüllen.
Mit dem folgenden Befehl können Sie eine globale SSL-Richtlinie aktualisieren:
gcloud compute ssl-policies update
SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --globalMit dem folgenden Befehl können Sie eine regionale SSL-Richtlinie aktualisieren:
gcloud compute ssl-policies update
SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --regionREGION
Führen Sie den folgenden Befehl aus, um alle Ziel-SSL-Proxys in einem Projekt aufzulisten, die nicht mit einer SSL-Richtlinie verknüpft sind:
curl \ 'https://compute.googleapis.com/compute/v1/projects/
PROJECT_ID /global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY ' \ --header 'Authorization: BearerYOUR_ACCESS_TOKEN ' \ --header 'Accept: application/json' \ --compressedInformationen zum Anhängen einer SSL-Richtlinie an diese Zielproxys finden Sie unter Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.
Sie können auch Cloud Asset Inventory oder den Google APIs Explorer verwenden, um Ressourcen zu finden und zu aktualisieren, die nicht Ihren Sicherheitsanforderungen entsprechen.
Wenn Sie beispielsweise eine Liste der Ziel-SSL-Proxys aufrufen möchten, die nicht mit einer SSL-Richtlinie verknüpft sind, gehen Sie in Cloud Asset Inventory so vor:
Rufen Sie in der Google Cloud Console die Seite Asset-Inventar auf.
Klicken Sie auf Asset-Abfrage.
Geben Sie in das Feld Abfrage bearbeiten die folgende Abfrage ein und klicken Sie auf Ausführen.
select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
Informationen zum Anhängen einer SSL-Richtlinie an diese Zielproxys finden Sie unter Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.
Führen Sie die Abfrage in Cloud Asset Inventory so lange aus, bis eine leere Antwort angezeigt wird.
Limits
Weitere Informationen finden Sie unter Kontingente und Limits für Load Balancer.
API-Referenz
Eine Beschreibung der Attribute und Methoden, die Sie für SSL-Richtlinien über die REST API nutzen können, finden Sie unter:
Produkt | API-Dokumentation |
---|---|
|
sslPolicies |
|
regionSslPolicies |
Referenz zur gcloud-Befehlszeile
Informationen zur Google Cloud CLI finden Sie hier:
-
- Global:
--global
- Regional:
--region=[REGION]
- Global:
Nächste Schritte
- Informationen zu SSL-Richtlinien finden Sie unter SSL-Richtlinien für SSL- und TLS-Protokolle
- Informationen zu externen Proxy-Network Load Balancern finden Sie unter Übersicht über externe Proxy-Network Load Balancer.
- Weitere Informationen zu externen Application Load Balancern finden Sie unter Übersicht über externe Application Load Balancer.