此页面由 Cloud Translation API 翻译。

启用 TLS 检查

本页面介绍了如何启用传输层安全协议 (TLS) 检查安全 Web 代理实例。

准备工作

在为 TLS 检查配置安全 Web 代理之前，完成以下部分中的任务。

启用 CAS

安全 Web 代理的用途证书授权机构服务 (CAS) 来生成用于 TLS 检查的证书。

如需启用 CAS，请使用以下命令：

  gcloud services enable privateca.googleapis.com

创建 CA 池

您必须先创建证书授权机构 (CA) 池，然后才能使用 CAS 创建 CA本部分逐步介绍了然后介绍如何创建 CA 池。

为了生成证书，TLS 检查会使用单独的服务账号每个项目都称为 service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. 请确保您已向此服务账号授予使用您的 CA 池。如果此权限被撤消，TLS 检查将停止运行。

执行此任务所需的权限

如需执行此任务，您必须获得以下权限或 IAM 角色。

权限

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

角色

Compute Network Admin (roles/compute.networkAdmin)
Certificate Manager Editor (roles/certificatemanager.editor)
可选：Security Policy Admin (roles/compute.orgSecurityPolicyAdmin)

如需创建池，请使用 gcloud privateca pools create 命令并指定从属池 ID、层级、项目 ID 和位置。

    gcloud privateca pools create SUBORDINATE_POOL_ID 

        --tier=TIER 

        --project=PROJECT_ID 

        --location=REGION

替换以下内容：

SUBORDINATE_POOL_ID：CA 池的名称
TIER：CA 层级，可以为 devops 或 enterprise

我们建议您在 devops 层级中创建 CA 池，因为也不必跟踪单独颁发的证书。
PROJECT_ID：CA 池项目的 ID
REGION：CA 池的位置

重要提示 ：为 TLS 检查生成的证书的有效期较短。证书颁发后，便无法通过 CA 服务。

创建从属 CA 池

您可以创建从属 CA 池，由根 CA 签署所有该池中的 CA。这些证书用于为服务器签名为 TLS 检查生成的证书。

如需创建从属池，请使用以下任一方法。

使用存储在 CAS 中的现有根 CA 创建从属 CA 池

如需生成从属 CA，请执行以下操作：

创建 CA 池。
在 CA 池中创建从属 CA。

使用外部持有的现有根 CA 创建从属 CA 池

如需生成从属 CA，请执行以下操作：

创建根 CA

如果您还没有根 CA，可以在 CAS 中创建一个。如需创建根 CA，请执行以下操作：

创建根 CA。
按照使用存储在 CAS 中的现有根 CA 创建从属 CA 池中的步骤操作。

如需详细了解 CA 池，请参阅 Certificate Authority Service 文档。

创建服务账号

如果您没有服务账号，则必须创建一个服务账号所需权限

创建服务账号：
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
作为响应，Google Cloud CLI 会创建一个名为 service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

针对您创建的服务账号授予生成与您的 CA 池相关联：

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

为 TLS 检查配置安全 Web 代理

您必须先完成此部分中的任务，然后才能继续执行准备工作部分列出的前提任务。

如需配置 TLS 检查，请完成以下部分中的任务。

创建 TLS 检查政策

创建文件 TLS_INSPECTION_FILE.yaml。将将 TLS_INSPECTION_FILE 替换为您的所需文件名。
将以下代码添加到 YAML 文件中，以配置所需的 TlsInspectionPolicy：
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
替换以下内容：
- PROJECT_ID：项目编号
- REGION：要在其中创建政策的区域
- TLS_INSPECTION_NAME：安全 Web 代理 TLS 检查政策
- CA_POOL：创建证书的 CA 池的名称
  
  CA 池必须位于同一区域。

导入 TLS 检查政策

导入您在上一步中创建的 TLS 检查政策：

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

将 TLS 检查政策添加到安全政策

控制台

创建 Web 代理政策

在 Google Cloud 控制台中，前往网络安全页面。

前往“网络安全”
点击安全 Web 代理。
点击政策标签页。
点击创建政策。
为您要创建的政策输入名称。例如 myswppolicy。
输入政策说明，例如 My new swp policy。
在区域列表中，选择您要在哪个区域创建安全 Web 代理政策。
如需配置 TLS 检查，请选择配置 TLS 检查。
在 TLS 检查政策列表中，选择“TLS” 您创建的检查政策。
如果要为政策创建规则，请点击继续，然后点击添加规则。有关详情，请参阅创建安全 Web 代理规则。
点击创建。

创建 Web 代理规则

在 Google Cloud 控制台中，前往网络安全页面。

前往“网络安全”
点击安全 Web 代理。
在项目选择器菜单中，选择您的组织 ID 或包含您的政策的文件夹。
点击您的政策名称。
点击添加规则。
填充规则字段：
1. 名称
2. 说明
3. 状态
4. 优先级：规则的数字评估顺序。这些规则按优先级从高到低进行评估，其中 0 为最高优先级。
5. 在操作部分，指定规则是允许 (Allow) 还是拒绝 (Deny)。
6. 在“会话匹配”部分中，指定来匹配会话如需详细了解 SessionMatcher，请参阅 CEL 匹配器语言参考文档。
7. 如需启用 TLS 检查，请选择启用 TLS 检查。
8. 在应用匹配部分，指定来匹配请求如果不启用 TLS 规则那么请求只能匹配 HTTP 流量。
9. 点击创建。
点击添加规则以添加其他规则。
点击创建以创建该政策。

设置 Web 代理

在 Google Cloud 控制台中，前往网络安全页面。

前往“网络安全”
点击安全 Web 代理。
点击 Web 代理标签页。
点击设置 Web 代理。
为您要创建的 Web 代理输入名称。例如 myswp。
输入 Web 代理的说明，例如 My new swp。
在区域列表中，选择您要在哪个区域创建 Web 代理。
在网络列表中，选择您要将创建 Web 代理。
在子网列表中，选择要添加到的子网创建 Web 代理。
输入 Web 代理 IP 地址。
在证书列表中，选择所需的证书用于创建 Web 代理
在政策列表中，选择您创建的政策网络代理的关联
点击创建。

Cloud Shell

创建文件 policy.yaml：

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

创建安全 Web 代理政策：

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

创建文件 rule.yaml：
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
注意：您必须为每条规则启用 TLS 检查。如需启用 TLS 检查，请按以下步骤操作：对于使用tlsInspectionEnabledtrue applicationMatcher 以匹配 HTTPS 流量。TLS 规则的检查范围仅限于与 sessionMatcher 属性。如需了解详情，请参阅 TLS 检查规则评估。

创建安全政策规则：

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

如需将 TLS 检查政策附加到现有安全政策，请创建文件 POLICY_FILE.yaml.将将 POLICY_FILE 替换为您的所需文件名。

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

后续步骤

使用网址列表创建政策