Como usar políticas de SSL

As políticas de SSL oferecem a capacidade de controlar os recursos de SSL que seu proxy SSL ou balanceador de carga HTTPS negocia. Neste documento, o termo "SSL" refere-se aos protocolos SSL e TLS.

Para mais informações sobre como as políticas de SSL funcionam, consulte Conceitos de política SSL.

Como trabalhar com políticas de SSL

É possível ativar políticas de SSL usando a ferramenta de linha de comando gcloud ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento após a criação do balanceador de carga.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --global \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Como criar políticas de SSL

É possível criar políticas SSL usando o Console ou a ferramenta de linha de comando gcloud ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento após a criação do balanceador de carga.

É possível criar políticas de SSL com perfis gerenciados pelo Google ou com um perfil personalizado.

Sintaxe com a ferramenta de linha de comando gcloud

A ferramenta de linha de comando gcloud usa a seguinte sintaxe para criar políticas de SSL:

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --global \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Criar uma política de SSL com um perfil gerenciado pelo Google

Console

Para criar uma política de SSL com um perfil gerenciado pelo Google, siga estas instruções:

  1. Acesse a página de políticas de SSL no Console do Google Cloud.
    Acessar a página "Políticas de SSL"
  2. Clique em Criar política. Você verá a página Criar política.
  3. Digite um Nome.
  4. Selecione uma Versão mínima do TLS.
  5. Em Perfil, selecione Compatível, Moderno ou Restrito. Os Recursos ativados e Recursos desativados do perfil são exibidos no lado direito da página.
  6. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Adicionar destino e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
  7. Clique em Criar.

gcloud

A sintaxe geral é esta:

gcloud compute ssl-policies create [SSL_POLICY] \
    --global \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

O seguinte comando cria uma política de SSL com o perfil MODERNO:

gcloud compute ssl-policies create my_ssl_policy \
    --global \
    --profile MODERN    \
    --min-tls-version 1.0

Você verá o seguinte:

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Como criar uma política de SSL com um perfil personalizado

Console

Para criar uma política de SSL com um perfil personalizado, siga estas instruções:

  1. Acesse a página de políticas de SSL no Console do Google Cloud.
    Acessar a página "Políticas de SSL"
  2. Clique em Criar política. Você verá a página Criar política.
  3. Digite um Nome.
  4. Selecione uma Versão mínima do TLS.
  5. Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados no lado direito da página.
  6. Na lista de Recursos, selecione cada conjunto de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados.
  7. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Adicionar destino e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
  8. Clique em Criar.

gcloud

O código a seguir cria uma política de SSL com o perfil CUSTOM com versão mínima de TLS 1.2 e os recursos TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Quando você cria uma política de SSL com o perfil CUSTOM, somente os recursos especificados no comando create são aceitos. Outros recursos não são.

gcloud compute ssl-policies create NAME \
    --global \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

Listar critérios da política de SSL

É possível listar todos os recursos de política de SSL usando o Console ou a ferramenta de linha de comando gcloud.

Console

  1. Acesse a página de políticas de SSL no Console do Google Cloud.
    Acessar a página "Políticas de SSL"
  2. Clique no nome da política que contém os recursos que você quer ver. Os conjuntos de criptografia ativados e desativados são listados no lado direito da página.

gcloud

Para listar os recursos disponíveis nas políticas de SSL:

gcloud compute ssl-policies list-available-features

Modificar políticas de SSL

É possível editar políticas de SSL usando o Console ou a ferramenta de linha de comando gcloud.

Console

  1. Acesse a página de políticas de SSL no Console do Google Cloud.
    Acessar a página "Políticas de SSL"
  2. Clique no nome da política que você quer modificar.
  3. Clique em Editar.
  4. Faça as alterações que quiser.
  5. Clique em Salvar.

gcloud

Para modificar uma política de SSL existente, passe qualquer uma ou todas as sinalizações correspondentes aos campos que você quer atualizar. Os campos não especificados não são atualizados.

Se você atualizar os recursos, os que estavam ativados antes serão excluídos e substituídos pelos novos especificados.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Criar um proxy SSL ou HTTPS de destino com uma política de SSL

É possível criar um proxy SSL de destino com uma política de SSL:

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

É possível criar um proxy HTTPS de destino para balanceadores de carga HTTP(S) externos com uma política de SSL:

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Como anexar uma política de SSL a um proxy HTTPS ou SSL de destino

Use o Console ou a ferramenta de linha de comando gcloud para anexar uma política de SSL a um proxy SSL de destino ou um proxy HTTPS.

Console

  1. Acesse a página Balanceamento de carga no Console do Google Cloud.
    Acessar a página "Balanceamento de carga"
  2. Clique no nome do balanceador de carga HTTPS ou SSL que você quer modificar.
  3. Clique em Editar.
  4. Clique em Configuração do front-end.
  5. Clique no front-end em que você quer atribuir uma política de SSL nova ou diferente.
  6. Em Política de SSL, selecione a política a ser atualizada.
  7. Selecione uma política de SSL diferente.
  8. Clique em Concluir.
  9. Clique em Atualizar. A página Detalhes do balanceador de carga é exibida.

gcloud

Use estes comandos para anexar uma política de SSL a um proxy SSL ou balanceador de carga HTTPS:

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

Se você não fornecer a sinalização --ssl-policy ou --clear-ssl-policy em uma atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A sinalização --clear-ssl-policy está descrita em Como excluir uma política de SSL de um proxy HTTPS ou SSL de destino.

Como excluir uma política de SSL de um proxy HTTPS ou SSL de destino

Use o Console ou a ferramenta de linha de comando gcloud para excluir uma política de SSL de um proxy SSL de destino ou de um proxy HTTPS de destino.

Console

  1. Acesse a página Balanceamento de carga no Console do Google Cloud.
    Acessar a página "Balanceamento de carga"
  2. Clique no nome do balanceador de carga HTTPS ou SSL que você quer modificar.
  3. Clique em Editar.
  4. Clique em Configuração do front-end.
  5. Clique no front-end com política de SSL que você quer excluir.
  6. Em Política de SSL, selecione a política a ser atualizada.
  7. Selecione uma política de SSL diferente.
  8. Clique em Concluir.
  9. Clique em Atualizar. A página Detalhes do balanceador de carga é exibida.

gcloud

Use estes comandos para remover uma política de SSL de um proxy SSL ou balanceador de carga HTTPS. NAME é o nome do proxy SSL ou HTTPS de destino. Se você não anexar uma política de SSL diferente ao proxy de destino, o balanceador de carga usará a política de SSL padrão. O uso da sinalização --clear-ssl-policy equivale a substituir uma política de SSL pela política padrão.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

Quando você fornece a sinalização --clear-ssl-policy no comando update, a política de SSL é removida do proxy.

Se você não fornecer a sinalização --clear-ssl-policy ou a sinalização --ssl-policy na atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A sinalização --ssl-policy é descrita em Como anexar uma política de SSL a um proxy HTTP ou SSL de destino.

Limites

  • Você pode configurar no máximo 10 políticas de SSL por projeto.
  • Não é possível configurar mais de uma política de SSL por proxy.

A seguir

  • Para informações conceituais sobre políticas de SSL, consulte Conceitos de política de SSL.
  • Para informações sobre o balanceamento de carga de proxy SSL, consulte esta página.
  • Para informações sobre o balanceamento de carga HTTP(S), consulte esta página.