SSL-Richtlinien verwenden

Mit SSL-Richtlinien können Sie steuern, welche SSL-Funktionen Ihr SSL-Proxy- oder HTTPS-Lastenausgleichsmodul aushandelt. In diesem Dokument bezieht sich der Begriff "SSL" sowohl auf das SSL- als auch auf das TLS-Protokoll.

Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinienkonzepte.

Mit SSL-Richtlinien arbeiten

Sie können SSL-Richtlinien mit dem gcloud-Befehlszeilentool beim Erstellen eines HTTPS- oder SSL-Load-Balancers oder jederzeit nach dem Erstellen des Load-Balancers aktivieren.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

SSL-Richtlinien erstellen

Sie können SSL-Richtlinien mit der Console oder dem gcloud-Befehlszeilentool beim Erstellen eines HTTPS- oder SSL-Load-Balancers oder jederzeit nach dem Erstellen des Load-Balancers erstellen.

Sie können SSL-Richtlinien mit von Google verwalteten Profilen oder mit einem benutzerdefinierten Profil erstellen.

Syntax mit dem gcloud-Befehlszeilentool

Das gcloud-Befehlszeilentool verwendet die folgende Syntax zum Erstellen von SSL-Richtlinien:

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

SSL-Richtlinie mit einem von Google verwalteten Profil erstellen

Konsole

Anhand der folgenden Schritte können Sie eine SSL-Richtlinie mit einem von Google verwalteten Profil erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite "SSL-Richtlinien" auf.
    Zur Seite "SSL-Richtlinien"
  2. Klicken Sie auf Richtlinie erstellen. Die Seite Richtlinie erstellen wird aufgerufen.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie eine Mindestversion für TLS aus.
  5. Wählen Sie unter Profil die Option Kompatibel, Modern oder Eingeschränkt aus. Rechts auf der Seite werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.
  6. Klicken Sie, wenn Sie die SSL-Richtlinie einem Load-Balancer zuordnen möchten, auf Ziel hinzufügen und wählen Sie eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.
  7. Klicken Sie auf Erstellen.

gcloud

Die allgemeine Syntax ist:

gcloud compute ssl-policies create [SSL_POLICY] \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

Sie können eine SSL-Richtlinie mit dem Profil MODERN folgendermaßen erstellen:

gcloud compute ssl-policies create my_ssl_policy \
    --profile MODERN    \
    --min-tls-version 1.0

Sie sehen Folgendes:

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen

Konsole

Mithilfe der folgenden Anleitung können Sie eine SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite "SSL-Richtlinien" auf.
    Zur Seite "SSL-Richtlinien"
  2. Klicken Sie auf Richtlinie erstellen. Die Seite Richtlinie erstellen wird aufgerufen.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie eine Mindestversion für TLS aus.
  5. Wählen Sie unter Profil die Option Benutzerdefiniert aus. Alle Features werden rechts auf der Seite unter Deaktivierte Features angezeigt.
  6. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.
  7. Klicken Sie, wenn Sie die SSL-Richtlinie einem Load-Balancer zuordnen möchten, auf Ziel hinzufügen und wählen Sie eine Weiterleitungsregel aus. Bei Bedarf fügen Sie weitere Ziele hinzu.
  8. Klicken Sie auf Erstellen.

gcloud

Folgendermaßen können Sie eine SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT mit einer TLS-Mindestversion von 1.2 und den Funktionen TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 erstellen.

Wenn Sie eine SSL-Richtlinie mit dem Profil BENUTZERDEFINIERT anlegen, werden nur die Features unterstützt, die Sie im Befehl create angeben. Andere Funktionen werden nicht unterstützt.

gcloud compute ssl-policies create NAME \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

SSL-Richtlinienfeatures auflisten

Sie können alle SSL-Richtlinienfeatures über die Console oder das gcloud-Befehlszeilentool auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "SSL-Richtlinien" auf.
    Zur Seite "SSL-Richtlinien"
  2. Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden dann rechts auf der Seite aufgeführt.

gcloud

So listen Sie die in SSL-Richtlinien verfügbaren Funktionen auf:

gcloud compute ssl-policies list-available-features

SSL-Richtlinien ändern

Sie können SSL-Richtlinien über die Console oder das gcloud-Befehlszeilentool bearbeiten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "SSL-Richtlinien" auf.
    Zur Seite "SSL-Richtlinien"
  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Nehmen Sie die gewünschten Änderungen vor.
  5. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.

Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Ziel-SSL-Proxy oder Ziel-HTTPS-Proxy mit einer SSL-Richtlinie erstellen

Sie können einen Ziel-SSL-Proxy mit einer SSL-Richtlinie erstellen:

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Sie können einen Ziel-HTTPS-Proxy für externe HTTP(S)-Load-Balancer mit einer SSL-Richtlinie erstellen:

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Vorhandene SSL-Richtlinie an einen Ziel-SSL- oder Ziel-HTTPS-Proxy anhängen

Mit der Console oder dem gcloud-Befehlszeilentool können Sie eine bestehende SSL-Richtlinie an einen vorhandenen Ziel-SSL-Proxy oder Ziel-HTTPS-Proxy anhängen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Load-Balancing.
    Zur Seite "Load-Balancing"
  2. Klicken Sie auf den Namen des HTTPS- oder SSL-Load-Balancers, den Sie ändern möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Klicken Sie auf Front-End-Konfiguration.
  5. Klicken Sie auf das Front-End, in dem Sie eine neue oder andere SSL-Richtlinie zuweisen möchten.
  6. Wählen Sie unter SSL-Richtlinie die Richtlinie aus, die Sie aktualisieren möchten.
  7. Wählen Sie eine andere SSL-Richtlinie aus.
  8. Klicken Sie auf Fertig.
  9. Klicken Sie auf Aktualisieren. Die Seite Details zum Load-Balancer wird angezeigt.

gcloud

Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen SSL- oder HTTPS-Proxy anzuhängen:

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

Wenn Sie das Flag --ssl-policy oder --clear-ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Das Flag --clear-ssl-policy wird unter SSL-Richtlinie von einem vorhandenen Ziel-SSL- oder Ziel-HTTPS-Proxy löschen beschrieben.

SSL-Richtlinie von einem vorhandenen Ziel-SSL- oder Ziel-HTTPS-Proxy löschen

Mit der Console oder dem gcloud-Befehlszeilentool können Sie eine SSL-Richtlinie von einem vorhandenen Ziel-SSL-Proxy oder Ziel-HTTPS-Proxy löschen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Load-Balancing.
    Zur Seite "Load-Balancing"
  2. Klicken Sie auf den Namen des HTTPS- oder SSL-Load-Balancers, den Sie ändern möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Klicken Sie auf Front-End-Konfiguration.
  5. Klicken Sie auf das Front-End, in dem Sie die SSL-Richtlinie löschen möchten.
  6. Wählen Sie unter SSL-Richtlinie die Richtlinie aus, die Sie aktualisieren möchten.
  7. Wählen Sie eine andere SSL-Richtlinie aus.
  8. Klicken Sie auf Fertig.
  9. Klicken Sie auf Aktualisieren. Die Seite Details zum Load-Balancer wird angezeigt.

gcloud

Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem SSL- oder HTTPS-Proxy zu entfernen. "NAME" steht dabei für den Namen des Ziel-SSL- oder Ziel-HTTPS-Proxys. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet das Lastenausgleichsmodul die Standard-SSL-Richtlinie. Die Verwendung des Flags "--clear-ssl-policy" entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

Wenn Sie im Update-Befehl das Flag --clear-ssl-policy angeben, wird die SSL-Richtlinie vom Proxy entfernt.

Wenn Sie das Flag --clear-ssl-policy oder --ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Ziel-SSL-Proxy oder Ziel-HTTP-Proxy anhängen.

Limits

  • Sie können maximal 10 SSL-Richtlinien pro Projekt konfigurieren.
  • Sie können nicht mehr als eine SSL-Richtlinie pro Proxy konfigurieren.

Nächste Schritte