Diese Seite wurde von der Cloud Translation API übersetzt.

TLS-Prüfung aktivieren

Auf dieser Seite wird beschrieben, wie Sie die TLS-Prüfung (Transport Layer Security) für Ihre Secure Web Proxy-Instanz aktivieren.

Hinweise

Bevor Sie Secure Web Proxy für die TLS-Prüfung konfigurieren, müssen Sie die Aufgaben in den folgenden Abschnitten ausführen.

CAS aktivieren

Secure Web Proxy verwendet Certificate Authority Service (CAS), um die für die TLS-Prüfung verwendeten Zertifikate zu generieren.

Verwenden Sie den folgenden Befehl, um CAS zu aktivieren:

  gcloud services enable privateca.googleapis.com

CA-Pool erstellen

Sie müssen einen CA-Pool erstellen, bevor Sie CAS zum Erstellen einer Zertifizierungsstelle verwenden können. In diesem Abschnitt werden Sie durch die Berechtigungen geführt, die Sie zum Ausführen dieser Aufgabe benötigen. Anschließend wird beschrieben, wie Sie einen Zertifizierungsstellenpool erstellen.

Zum Generieren von Zertifikaten verwendet die TLS-Prüfung für jedes Projekt ein separates Dienstkonto namens service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. Prüfen Sie, ob Sie diesem Dienstkonto Berechtigungen zur Verwendung Ihres Zertifizierungsstellenpools gewährt haben. Wenn dieser Zugriff widerrufen wird, funktioniert die TLS-Prüfung nicht mehr.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder IAM-Rollen haben.

Berechtigungen

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Rollen

Compute-Netzwerkadminstrator (roles/compute.networkAdmin)
Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
Optional: Sicherheitsrichtlinienadministrator (roles/compute.orgSecurityPolicyAdmin)

Verwenden Sie zum Erstellen des Pools den Befehl gcloud privateca pools create und geben Sie die untergeordnete Pool-ID, die Stufe, die Projekt-ID und den Standort an.

    gcloud privateca pools create SUBORDINATE_POOL_ID 

        --tier=TIER 

        --project=PROJECT_ID 

        --location=REGION

Ersetzen Sie Folgendes:

SUBORDINATE_POOL_ID: der Name des Zertifizierungsstellenpools
TIER: die CA-Stufe, entweder devops oder enterprise

Wir empfehlen, den Zertifizierungsstellenpool in der Stufe devops zu erstellen, da einzeln ausgestellte Zertifikate nicht verfolgt werden müssen.
PROJECT_ID: die ID des Zertifizierungsstellenpoolprojekts
REGION: der Standort des Zertifizierungsstellenpools

Wichtig: Zertifikate, die für die TLS-Prüfung generiert werden, haben eine kurze Lebensdauer. Nachdem die Zertifikate ausgestellt wurden, können sie nicht mehr über einen CA-Dienst geändert oder widerrufen werden.

Untergeordneten Zertifizierungsstellenpool erstellen

Sie können einen untergeordneten Zertifizierungsstellen-Pool erstellen und die Stamm-Zertifizierungsstelle signiert alle Zertifizierungsstellen in diesem Pool. Mit diesen Zertifikaten werden Serverzertifikate signiert, die für die TLS-Prüfung generiert wurden.

Verwenden Sie eine der folgenden Methoden, um einen untergeordneten Pool zu erstellen.

Erstellen Sie einen untergeordneten Zertifizierungsstellenpool mithilfe einer vorhandenen in CAS gespeicherten Stammzertifizierungsstelle

So generieren Sie eine untergeordnete Zertifizierungsstelle:

Mit einer vorhandenen extern verwalteten Root-Zertifizierungsstelle einen untergeordneten Zertifizierungsstellenpool erstellen

So generieren Sie eine untergeordnete Zertifizierungsstelle:

Stamm-CA erstellen

Wenn Sie noch keine Root-Zertifizierungsstelle haben, können Sie eine innerhalb von CAS erstellen. So erstellen Sie eine Stammzertifizierungsstelle:

Erstellen Sie eine Root-Zertifizierungsstelle.
Führen Sie die Schritte unter Untergeordnete Zertifizierungsstelle mithilfe einer vorhandenen Stammzertifizierungsstelle erstellen, die in CAS gespeichert ist aus.

Weitere Informationen zu CA-Pools finden Sie in der Dokumentation zum Certificate Authority Service.

Dienstkonto erstellen

Wenn Sie kein Dienstkonto haben, müssen Sie eines erstellen und die erforderlichen Berechtigungen gewähren.

Erstellen Sie ein Dienstkonto:
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
Als Antwort erstellt die Google Cloud CLI ein Dienstkonto mit dem Namen service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

Gewähren Sie dem von Ihnen erstellten Dienstkonto Berechtigungen zum Generieren von Zertifikaten mit Ihrem Zertifizierungsstellenpool:

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Secure Web Proxy für die TLS-Prüfung konfigurieren

Sie können mit den Aufgaben in diesem Abschnitt erst fortfahren, nachdem Sie die im Abschnitt Vorbereitung aufgeführten erforderlichen Aufgaben abgeschlossen haben.

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um die TLS-Prüfung zu konfigurieren.

TLS-Prüfungsrichtlinie erstellen

Erstellen Sie die Datei TLS_INSPECTION_FILE.yaml. Ersetzen Sie TLS_INSPECTION_FILE durch den gewünschten Dateinamen.
Fügen Sie der YAML-Datei den folgenden Code hinzu, um die gewünschte TlsInspectionPolicy zu konfigurieren:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Ersetzen Sie Folgendes:
- PROJECT_ID: die Projektnummer
- REGION: Region, in der die Richtlinie erstellt werden soll
- TLS_INSPECTION_NAME: der Name der TLS-Prüfungsrichtlinie von Secure Web Proxy
- CA_POOL: der Name des CA-Pools, aus dem die Zertifikate erstellt werden sollen
  
  Der CA-Pool muss in derselben Region vorhanden sein.

TLS-Prüfungsrichtlinie importieren

Importieren Sie die TLS-Prüfungsrichtlinie, die Sie im vorherigen Schritt erstellt haben:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

TLS-Prüfungsrichtlinie zur Sicherheitsrichtlinie hinzufügen

Console

Web-Proxy-Richtlinie erstellen

Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

Netzwerksicherheit aufrufen
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.
Geben Sie eine Beschreibung der Richtlinie ein, z. B. „My new swp policy“.
Wählen Sie in der Liste Regionen die Region aus, in der Sie die Secure Web Proxy-Richtlinie erstellen möchten.
Wählen Sie zum Konfigurieren der TLS-Prüfung TLS-Prüfung konfigurieren aus.
Wählen Sie in der Liste TLS-Prüfungsrichtlinie die von Ihnen erstellte TLS-Prüfungsrichtlinie aus.
Wenn Sie Regeln für Ihre Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen. Weitere Informationen finden Sie unter Secure Web Proxy-Regeln erstellen.
Klicken Sie auf Erstellen.

Web-Proxy-Regeln erstellen

Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

Netzwerksicherheit aufrufen
Klicken Sie auf Secure Web Proxy.
Wählen Sie im Menü der Projektauswahl Ihre Organisations-ID oder den Ordner aus, der Ihre Richtlinie enthält.
Klicken Sie auf den Namen Ihrer Richtlinie.
Klicken Sie auf Regel hinzufügen.
Füllen Sie die Regelfelder aus:
1. Name
2. Beschreibung
3. Status
4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden.
6. Geben Sie im Bereich Sitzungsübereinstimmung die Kriterien für die Zuordnung der Sitzung an. Weitere Informationen zur Syntax für SessionMatcher finden Sie in der Sprachreferenz für CEL-Matcher.
7. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.
8. Geben Sie im Bereich Anwendungsabgleich die Kriterien für die Übereinstimmung der Anfrage an. Wenn Sie die Regel für die TLS-Prüfung nicht aktivieren, kann die Anfrage nur mit HTTP-Traffic abgeglichen werden.
9. Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Web-Proxy einrichten

Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

Netzwerksicherheit aufrufen
Klicken Sie auf Secure Web Proxy.
Klicken Sie auf den Tab Web-Proxys.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den Web-Proxy ein, den Sie erstellen möchten, z. B. myswp.
Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.
Wählen Sie in der Liste Regionen die Region aus, in der Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Web-Proxy erstellen möchten.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie zum Erstellen des Web-Proxys verwenden möchten.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Web-Proxy zu verknüpfen.
Klicken Sie auf Erstellen.

Cloud Shell

Erstellen Sie die Datei policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Erstellen Sie die Secure Web Proxy-Richtlinie:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Erstellen Sie die Datei rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Hinweis: Sie müssen die TLS-Prüfung für jede Regel aktivieren. Wenn Sie die TLS-Prüfung aktivieren möchten, setzen Sie das Attribut tlsInspectionEnabled für jede Regel, die applicationMatcher verwendet, auf true, um den HTTPS-Traffic abzugleichen. Die TLS-Prüfung für die Regel ist auf den Traffic beschränkt, der mit dem Attribut sessionMatcher der Regel übereinstimmt. Weitere Informationen finden Sie unter Auswerten von TLS-Prüfungsregeln.

Erstellen Sie die Sicherheitsrichtlinienregel:

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Erstellen Sie die Datei POLICY_FILE.yaml, um eine TLS-Prüfungsrichtlinie an eine vorhandene Sicherheitsrichtlinie anzuhängen. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Nächste Schritte

URL-Liste zum Erstellen von Richtlinien verwenden