Usa políticas de SSL

Las políticas de SSL te permiten controlar las características de SSL que negocian tu proxy SSL o el balanceador de cargas HTTPS. En este documento, el término “SSL” se refiere a los protocolos SSL y TLS.

Para obtener más información sobre cómo funcionan las políticas de SSL, consulta los conceptos de políticas de SSL.

Trabaja con políticas de SSL

Puedes habilitar políticas de SSL con la herramienta de línea de comandos de gcloud cuando creas un balanceador de cargas HTTPS o SSL o en cualquier momento una vez que se crea el balanceador de cargas.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Crea políticas de SSL

Puedes crear políticas de SSL con Console o la herramienta de línea de comandos de gcloud cuando creas un balanceador de cargas HTTPS o SSL, o en cualquier momento una vez que se crea el balanceador de cargas.

Puedes crear políticas de SSL con los perfiles administrados por Google o con un perfil personalizado.

Sintaxis con la herramienta de línea de comandos de gcloud

La herramienta de línea de comandos de gcloud usa la sintaxis siguiente para crear políticas de SSL:

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Crea una política de SSL con un perfil administrado por Google

Console


Si quieres crear una política de SSL con un perfil administrado por Google, usa estas instrucciones:

  1. Dirígete a la página de políticas de SSL en Google Cloud Platform Console.
    Ir a la página de políticas de SSL
  2. Haz clic en Crear política. Verás la página Crear política.
  3. Ingresa un nombre.
  4. Selecciona una versión mínima de TLS.
  5. En Perfil, selecciona Compatible, Moderno o Restringido. Las características habilitadas y las características inhabilitadas para el perfil se muestran a la derecha de la página.
  6. Si hay un balanceador de cargas al que deseas adjuntar la política, haz clic en Agregar destino y selecciona una regla de reenvío como destino de la política de SSL. Si lo deseas, agrega más destinos.
  7. Haz clic en Crear.

gcloud


A continuación, se muestra la sintaxis general:

gcloud compute ssl-policies create [SSL_POLICY] \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

De esta forma se crea una política de SSL con el perfil MODERN:

gcloud compute ssl-policies create my_ssl_policy \
    --profile MODERN    \
    --min-tls-version 1.0

Verás la información siguiente:

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Crea una política de SSL con un perfil personalizado

Console


Si quieres crear una política de SSL con un perfil personalizado, usa estas instrucciones:

  1. Dirígete a la página de políticas de SSL en Google Cloud Platform Console.
    Ir a la página de políticas de SSL
  2. Haz clic en Crear política. Verás la página Crear política.
  3. Ingresa un Nombre.
  4. Selecciona una Versión mínima de TLS.
  5. En Perfil, selecciona Personalizar. Todas las características se muestran como Características inhabilitadas a la derecha de la página.
  6. En la lista de Características, selecciona cada conjunto de cifrado que desees habilitar. Los conjuntos de cifrado que habilitas se enumeran como Características habilitadas.
  7. Si hay un balanceador de cargas al que deseas adjuntar la política, haz clic en Agregar destino y selecciona una regla de reenvío como destino de la política de SSL. Si lo deseas, agrega más destinos.
  8. Haz clic en Crear.

gcloud


Con lo siguiente, se crea una política de SSL con el perfil CUSTOM y una versión mínima de TLS de 1.2 y características TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 y TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Solo se admiten las características que especificas en el comando create, cuando creas una política de SSL con el perfil CUSTOM. No se admiten otras características.

gcloud compute ssl-policies create my_custom_ssl_policy \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

Enumera las características de la política de SSL

Puedes enumerar todas las características de la política de SSL con Console o la herramienta de línea de comandos de gcloud.

Console


  1. Dirígete a la página de políticas de SSL en Google Cloud Platform Console.
    Ir a la página de políticas de SSL
  2. Haz clic en el nombre de la política cuyas características quieres ver. Los conjuntos de cifrado inhabilitados y habilitados se muestran en el lado derecho de la página.

gcloud


Si quieres enumerar las características disponibles en las políticas de SSL, ingresa el comando siguiente:

gcloud compute ssl-policies list-available-features

Modifica las políticas de SSL

Puedes editar las políticas de SSL con Console o la herramienta de línea de comandos de gcloud.

Console


  1. Dirígete a la página de políticas de SSL en Google Cloud Platform Console.
    Ir a la página de políticas de SSL
  2. Haz clic en el nombre de la política que quieres modificar.
  3. Haz clic en EDITAR.
  4. Aplica los cambios que quieras.
  5. Haz clic en Guardar.

gcloud


Si quieres modificar una política de SSL existente, debes pasar cualquiera o todas las marcas correspondientes a los campos que quieres actualizar. Los campos sin especificar no se actualizan.

Si actualizas las características, las que se habilitaron con anterioridad se borran y se reemplazan por las nuevas que especifiques.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Crea un proxy SSL o un proxy HTTPS de destino con una política de SSL

Puedes crear un proxy SSL de destino con una política de SSL:

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Puedes crear un proxy HTTPS de destino con una política de SSL:

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Adjunta una política de SSL existente a un proxy SSL o proxy HTTPS de destino existente

Puedes usar Console o la herramienta de línea de comandos de gcloud para adjuntar una política de SSL existente a un proxy SSL o proxy HTTPS de destino existente.

Console


  1. Ve a la página Balanceo de cargas de Google Cloud Platform Console.
    Ir a la página Balanceo de cargas
  2. Haz clic en el nombre del balanceador de cargas HTTPS o SSL que quieres modificar.
  3. Haz clic en EDITAR.
  4. Haz clic en Configuración de frontend.
  5. Haz clic en el frontend al que quieres asignar una política de SSL nueva o diferente.
  6. En Política de SSL, selecciona la política de SSL que quieres actualizar.
  7. Selecciona una política de SSL diferente.
  8. Haz clic en Listo.
  9. Haz clic en Actualizar. Se abrirá la página de detalles del balanceador de cargas.

gcloud


Usa estos comandos para adjuntar una política de SSL existente a un balanceador de cargas proxy SSL o HTTPS:

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

Si no proporcionas las marcas --ssl-policy o --clear-ssl-policy en una actualización de proxy de destino (por ejemplo, cuando actualizas un certificado SSL), la política SSL no se modificará. La marca --clear-ssl-policy se describe en la sección Borra una política de SSL de un proxy SSL o un proxy HTTPS de destino existente.

Borra una política de SSL de un proxy SSL o proxy HTTPS de destino existente

Puedes usar Console o la herramienta de línea de comandos de gcloud para borrar una política de SSL de un proxy SSL de destino existente o un proxy HTTPS de destino.

Console


  1. Ve a la página Balanceo de cargas de Google Cloud Platform Console.
    Ir a la página Balanceo de cargas
  2. Haz clic en el nombre del balanceador de cargas HTTPS o SSL que quieres modificar.
  3. Haz clic en EDITAR.
  4. Haz clic en Configuración de frontend.
  5. Haz clic en el frontend desde el que quieres borrar la política de SSL.
  6. En Política de SSL, selecciona la política de SSL que quieres actualizar.
  7. Selecciona una política de SSL diferente.
  8. Haz clic en Listo.
  9. Haz clic en Actualizar. Se abrirá la página de detalles del balanceador de cargas.

gcloud


Usa estos comandos para quitar una política de SSL de un balanceador de cargas de proxy SSL o HTTPS, en el que NAME es el nombre del proxy SSL o HTTPS de destino. Si no adjuntas una política SSL diferente al proxy de destino, el balanceador de cargas usará la política de SSL predeterminada. Usar la marca --clear-ssl-policy es equivalente a reemplazar una política de SSL por la política de SSL predeterminada.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

Cuando proporcionas la marca --clear-ssl-policy en el comando update, la política de SSL se quita del proxy.

Si no proporcionas las marcas --clear-ssl-policy o --ssl-policy en la actualización del proxy de destino (por ejemplo, cuando actualizas un certificado SSL), la política de SSL no se modificará. La marca --ssl-policy se describe en Adjunta una política de SSL existente a un proxy SSL o proxy HTTP de destino existente.

Límites

  • Puedes configurar un máximo de 10 políticas de SSL por proyecto.
  • No puedes configurar más de una política de SSL por proxy.

Problemas comunes

Los balanceadores de cargas que no tienen configurada una política de SSL permiten en la actualidad usar cuatro conjuntos de cifrado que no se pueden usar cuando se habilita una política de SSL. Los conjuntos de cifrado son los que se detallan a continuación:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Google dejará de ofrecer asistencia para estos conjuntos de cifrado. Con el tiempo, dejarán de ser compatibles con cualquier balanceador de cargas.

Próximos pasos

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...