SSL-Richtlinien für SSL- und TLS-Protokolle

SSL-Richtlinien geben die SSL-Features an, die Google Cloud-Load-Balancer beim Aushandeln von SSL mit Clients verwenden. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.

SSL-Richtlinien werden von den folgenden Load-Balancern unterstützt:

  • Globale SSL-Richtlinien
    • Globaler externer Application Load Balancer
    • Klassischer Application Load Balancer
    • Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)
    • Regionsübergreifender interner Application Load Balancer _shared/networking/_setting_up_l7_regional_serverless.md
  • Regionale SSL-Richtlinien
    • Regionaler externer Application Load Balancer
    • Regionaler interner Application Load Balancer

Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinien – Übersicht.

Sie können SSL-Richtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen und verwalten, wenn Sie einen HTTPS- oder SSL-Load-Balancer erstellen, oder nach dem Erstellen des Load-Balancers.

Wenn Sie regionale SSL-Richtlinien auflisten, erstellen und verwalten möchten, müssen Sie gcloud CLI Version 404 oder höher ausführen.

SSL-Richtlinien erstellen

Sie können SSL-Richtlinien mit von Google verwalteten Profilen oder mit einem benutzerdefinierten Profil erstellen.

SSL-Richtlinie mit einem von Google verwalteten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem von Google verwalteten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Mindestversion für TLS aus.

  6. Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  7. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.

  8. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem von Google verwalteten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Region aus.

  6. Wählen Sie eine Mindestversion für TLS aus.

  7. Wählen Sie für Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

gcloud

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem von Google verwalteten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED   \
    --min-tls-version 1.0 | 1.1 | 1.2

Mit dem folgenden Befehl wird eine globale SSL-Richtlinie mit dem Profil MODERN erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Regionale SSL-Richtlinie

Hier sehen Sie die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem von Google verwalteten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Mit dem folgenden Befehl wird eine regionale SSL-Richtlinie mit dem Profil COMPATIBLE erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Mindestversion für TLS aus.

  6. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.

  7. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie eine Region aus.

  6. Wählen Sie eine Mindestversion für TLS aus.

  7. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.

  8. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  9. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.

  10. Klicken Sie auf Erstellen.

gcloud

Wenn Sie eine SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT anlegen, werden nur die Features unterstützt, die Sie im Befehl create angeben. Andere Funktionen werden nicht unterstützt.

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Im folgenden Beispiel wird eine globale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 erstellt.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Regionale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Im folgenden Beispiel wird eine regionale SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 erstellt.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

SSL-Richtlinien auflisten

Console

Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

SSL-Richtlinien aufrufen

Sie können eine Liste aller verfügbaren SSL-Richtlinien aufrufen. Das Feld Bereich gibt an, ob die SSL-Richtlinie global oder regional ist.

gcloud

Führen Sie folgenden Befehl aus, um sowohl globale als auch regionale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list

Führen Sie folgenden Befehl aus, um nur globale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list --global

Führen Sie folgenden Befehl aus, um nur regionale SSL-Richtlinien aufzulisten:

  gcloud compute ssl-policies list --regions REGION

In einer SSL-Richtlinie verfügbare Features auflisten

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden dann rechts auf der Seite aufgeführt.

gcloud

So listen Sie die in globalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features

So listen Sie die in regionalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features \
    --region REGION

SSL-Richtlinien ändern

Console

So ändern Sie eine globale oder regionale SSL-Richtlinie:

  1. Wechseln Sie in der Google Cloud Console zur Seite SSL-Richtlinien.

    SSL-Richtlinien aufrufen

  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Nehmen Sie die gewünschten Änderungen vor.

  5. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.

Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.

Globale SSL-Richtlinien

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Regionale SSL-Richtlinien

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Zielproxy mit einer SSL-Richtlinie erstellen

Console

Sie können einen Zielproxy mithilfe der Google Cloud Console erstellen, wenn Sie den Load-Balancer erstellen oder aktualisieren, wie in den folgenden Dokumenten gezeigt:

gcloud

So erstellen Sie einen SSL-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

So erstellen Sie einen globalen HTTPS-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

So erstellen Sie einen regionalen HTTPS-Zielproxy mit einer regionalen SSL-Richtlinie:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen

Console

gcloud

Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen SSL- oder HTTPS-Proxy anzuhängen.

So hängen Sie eine vorhandene globale SSL-Richtlinie an einen Ziel-SSL-Proxy an:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

So hängen Sie eine vorhandene globale SSL-Richtlinie an einen globalen Ziel-HTTPS-Proxy an:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

So hängen Sie eine vorhandene regionale SSL-Richtlinie an einen regionalen HTTPS-Zielproxy an:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Wenn Sie das Flag --ssl-policy oder --clear-ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Das Flag --clear-ssl-policy wird unter SSL-Richtlinie von einem Zielproxy löschen beschrieben.

API

Verwenden Sie die Methode targetHttpsProxies.patch, um eine globale SSL-Richtlinie für einen globalen Zielproxy festzulegen.

Verwenden Sie die Methode regionTargetHttpsProxies.patch, um eine regionale SSL-Richtlinie für einen regionalen Zielproxy festzulegen.

SSL-Richtlinie von einem Zielproxy löschen

Console

gcloud

Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem SSL- oder HTTPS-Proxy zu entfernen. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet der Load-Balancer die Standard-SSL-Richtlinie. Die Verwendung des Flags --clear-ssl-policy entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.

So entfernen Sie eine globale SSL-Richtlinie von einem Ziel-SSL-Proxy:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

So entfernen Sie eine globale SSL-Richtlinie von einem globalen HTTPS-Zielproxy:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

So entfernen Sie eine regionale SSL-Richtlinie von einem regionalen Ziel-HTTPS-Proxy:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Wenn Sie im Update-Befehl das Flag --clear-ssl-policy angeben, wird die SSL-Richtlinie vom Proxy entfernt.

Wenn Sie das Flag --clear-ssl-policy oder --ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.

Limits

  • Sie können maximal 10 SSL-Richtlinien pro Projekt konfigurieren.
  • Sie können nicht mehr als eine SSL-Richtlinie pro Proxy konfigurieren.

API-Referenz

Eine Beschreibung der Attribute und Methoden, die Sie für SSL-Richtlinien über die REST API nutzen können, finden Sie unter:

Produkt API-Dokumentation
  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Regionenübergreifender interner Application Load Balancer
 sslPolicies
  • Regionaler externer Application Load Balancer
  • Regionaler interner Application Load Balancer
 regionSslPolicies

Referenz zur gcloud-Befehlszeile

Informationen zur Google Cloud CLI finden Sie hier:

Nächste Schritte