Google émet-il des certificats SSL
Utilisez des certificats SSL gérés par Google
Résumé:
Dans cet article, nous discuterons de l’utilisation des certificats SSL gérés par Google pour les équilibreurs de charge dans Google Cloud. Nous couvrirons l’aperçu des certificats SSL, les méthodes pour les configurer, les types de certificats disponibles et comment ils peuvent être utilisés avec Google Cloud Load Balancers.
Points clés:
- La sécurité de la couche de transport (TLS) est utilisée pour chiffrer les informations sur un réseau.
- Google Cloud Proxy Load Balancers nécessite des certificats SSL pour le cryptage.
- Il existe deux méthodes pour configurer les certificats SSL: calculer le gestionnaire de certificats SSL du moteur et le gestionnaire de certificats.
- Des certificats SSL autogérés et gérés par Google sont disponibles.
- Les certificats autogérés peuvent être la validation du domaine (DV), la validation de l’organisation (OV) ou les certificats de validation prolongée (EV).
- Google Cloud Load Balancers prend en charge différents types de certificats SSL en fonction du niveau.
- Plusieurs certificats SSL peuvent être hébergés sur un seul proxy cible.
- Calculer les ressources de certificat SSL du moteur ont une limite maximale par proxy cible.
- Le premier certificat SSL moteur de calcul est considéré comme le certificat par défaut.
- Le gestionnaire de certificat permet de référence à plusieurs certificats à l’aide d’une carte de certificat.
Questions et réponses:
Q1: Quel est le but des certificats SSL dans Google Cloud Load Balancers?
A1: Le but des certificats SSL est de fournir un chiffrement entre l’équilibreur de charge et les clients accédant à l’équilibreur de chargement.
Q2: Combien de méthodes sont disponibles pour configurer les certificats SSL pour les équilibreurs de chargement?
A2: Il existe deux méthodes disponibles: Compute Engine SSL Certificate Resource and Certificate Manager.
Q3: Quels types de certificats SSL peuvent être utilisés avec Google Cloud Load Balancers?
A3: Les certificats SSL autogérés et gérés par Google peuvent être utilisés. Les certificats autogérés peuvent être des certificats DV, OV ou EV.
Q4: Quels types d’équilibreurs de chargement prennent en charge les certificats SSL de moteur de calcul autogéré?
A4: Équilibreur de charge HTTP (s) externe global, équilibreur de charge HTTP (S) externe global (Classic) et équilibreur de charge de proxy SSL externe dans le support de premier plan des certificats de moteur de calcul autogéré SSL.
Q5: Est-il possible d’héberger plusieurs certificats SSL sur un seul proxy cible?
A5: Oui, il est possible d’héberger plusieurs certificats SSL sur un seul proxy cible, surtout lorsque l’équilibreur de charge prend en charge plusieurs noms de domaine.
Q6: Quel est le nombre maximum de certificats SSL par proxy cible lors de l’utilisation de ressources de certificat SSL de calcul de calcul?
A6: Le nombre maximum de certificats SSL par proxy cible est non configurable. Veuillez vous référer aux quotas d’équilibrage de charge et limite la documentation pour plus d’informations.
Q7: Quel certificat SSL est considéré comme le certificat par défaut lors de l’utilisation de ressources de certificat SSL du moteur de calcul?
A7: Le premier certificat SSL moteur de calcul référencé par un proxy cible est considéré comme le certificat par défaut pour l’équilibreur de chargement.
Q8: Les multiples certificats SSL peuvent-ils être référencés à l’aide du gestionnaire de certificat?
A8: Oui, le gestionnaire de certificat permet de référencer plusieurs certificats SSL à l’aide d’une carte de certificat.
Q9: quels équilibreurs de chargement utilisent des proxys HTTPS cibles régionaux?
A9: L’équilibreur de charge HTTP (S) externe régional et l’équilibateur de charge HTTP (s) interne utilisent des proxys HTTPS cibles régionaux.
Q10: Quel est le but de la sécurité de la couche de transport (TLS)?
A10: Transport Layer Security (TLS) est utilisé pour chiffrer les informations envoyées sur un réseau, garantissant la confidentialité entre le client et le serveur ou l’équilibreur de chargement.
Utilisez des certificats SSL gérés par Google
Avant de supprimer un certificat SSL, assurez-vous qu’aucun proxy HTTPS ou SSL ne fait référence à ce certificat. Vous pouvez le faire de deux manières:
Présentation des certificats SSL
Transport Layer Security (TLS) est utilisé pour crypter les informations lorsqu’elle est envoyée sur un réseau, offrant une confidentialité entre un client et un serveur ou un équilibreur de chargement. Google Cloud Proxy Balancers de charge dont les règles de transfert font référence à un proxy HTTPS cible ou à un proxy SSL cible nécessitent une clé privée et un certificat SSL dans le cadre de la configuration de proxy cible de l’équilibreur de chargement.
Note: Cette page traite des certificats SSL dans le contexte du cryptage en transit entre un équilibreur de chargement de proxy Google Cloud et (en aval) des clients qui se connectent à Google Cloud Load Balancer. Pour plus de détails sur le cryptage en transit entre l’équilibreur de chargement de Google Cloud et ses backends (en amont), voir le cryptage aux backends.
Méthodes de configuration du certificat
Google Cloud propose deux méthodes pour configurer les certificats SSL pour les équilibreurs de charge proxy HTTP et SSL. Les deux méthodes prennent en charge les certificats SSL autogérés et gérés par Google.
- Calculer la ressource de certificat SSL moteur: Avec cette méthode, le proxy cible pour un équilibreur de charge HTTP (s) externe global, un équilibreur de charge HTTP (s) externe mondial (classique), un équilibreur de chargement SSL externe, un équilibreur de chargement external régional HTTP (s), un équilibreur de chargement interne SSL Resource de chargement de moteur de calcul SSL (S). La ressource de certificat SSL contient la clé privée, le certificat correspondant et – Optional – Certificats de CA. Cette méthode prend en charge tous les niveaux de service réseau qui sont pris en charge par l’équilibreur de charge.
- Gestionnaire de certificat: Avec cette méthode, le proxy cible pour un équilibreur de charge HTTP (s) externe global, l’équilibreur de charge HTTP (s) externe global (classique) ou l’équilibreur de charge proxy SSL externe est configuré pour référencer un carte de certificat. La carte du certificat contient un ou plusieurs Entrées de certificat. Chaque entrée de certificat fait référence à une ressource de certificat de gestion de certificat, et chaque ressource de certificat contient une clé privée et un certificat. Avec Certificate Manager, un proxy HTTPS cible ou un proxy SSL cible peut faire référence à une carte de certificat avec des milliers de participations SSL. Cette méthode n’est disponible que lorsque l’équilibreur de charge utilise le niveau de service réseau premium. Pour plus d’informations, consultez la vue d’ensemble du gestionnaire de certificat.
Types de certificats
Vous pouvez créer vos propres certificats ou Google peut les gérer pour vous:
- Certificats SSL autogérés sont des certificats que vous obtenez, vous provisionnez et vous renouvelez. Les certificats autogérés peuvent être l’un de ces types de certificats de clés publics:
- Validation du domaine (DV)
- Validation de l’organisation (OV)
- Certificats de validation prolongée (EV)
Pour plus d’informations sur les certificats SSL de moteur de calcul autogérés, voir Utiliser les certificats SSL autogérés.
Pour plus d’informations sur les certificats SSL autogérés et le gestionnaire de certificats, consultez Télécharger un certificat autogéré dans la documentation du gestionnaire de certificat ou déployer un certificat autogéré pour un tutoriel de bout en bout.
Certificats et Google Cloud Load Balancers
Le tableau suivant montre quels équilibreurs de chargement Google Cloud prennent en charge les certificats SSL de moteur de calcul autogérés, les certificats SSL de moteur de calcul gérés par Google ou le gestionnaire de certificats (certificats auto-gérés et gérés par Google).
- Équilibreur de charge HTTP (s) externe global A
- Équilibreur de charge HTTP (S) externe mondial (classique) en niveau de qualité supérieure A
- Équilibreur de charge proxy SSL externe en niveau de qualité supérieure B
- Équilibreur de charge HTTP (S) externe global (classique) en niveau standard A
- Équilibreur de charge proxy SSL externe en niveau standard B
- Équilibreur de charge HTTP (S) externe régional C
- Équilibreur de charge interne HTTP (S) C
A L’équilibreur de charge HTTP (s) externe global et l’équilibreur de charge HTTP (s) externe global (classique) utilisent des proxys HTTPS cibles globaux, même lorsqu’un équilibreur de charge HTTP (S) externe (s) externe utilise un niveau standard externe (S) utilise un niveau standard.
B L’équilibreur de charge SSL externe utilise des proxys Global Target SSL, même en niveau standard.
C L’équilibreur de charge HTTP (S) externe régional et l’équilibreur de charge HTTP (s) interne utilisent des proxies HTTPS cibles régionaux.
Certificats SSL multiples
Vous pouvez utiliser le même proxy HTTPS cible ou proxy SSL cible pour héberger plusieurs certificats – COMMON lorsque l’équilibreur de chargement prend en charge plusieurs noms de domaine. Vous pouvez configurer une seule règle de transfert (une seule adresse IP et un port) pour référencer un proxy cible commun, ou vous pouvez configurer plusieurs règles de transfert (différentes adresses IP et ports) pour référencer un proxy cible commun.
Ressources de certificat SSL de moteur de calcul multiples
Lorsque vous utilisez des ressources de certificat SSL en moteur de calcul, chaque ressource proxy cible peut faire référence à une Nombre maximum de certificats SSL par cible HTTPS ou proxy SSL cible. Pour plus d’informations, consultez les pools cibles et les procurations cibles dans les quotas d’équilibrage de charge et limite la documentation.
La première ressource de certificat SSL du moteur de calcul référencé par le proxy cible d’un équilibreur de charge est considérée comme le certificat par défaut (primaire) pour l’équilibreur de chargement.
Certificats SSL multiples utilisant le gestionnaire de certificats
Lorsque vous utilisez Certificate Manager, chaque ressource proxy cible fait référence à une carte de certificat unique. Une carte de certificat fait référence à une ou plusieurs entrées de certificat, et vous pouvez configurer quelle entrée de certificat est le certificat par défaut (principal) pour la carte. Le nombre de cartes, entrées et certificats de certificat Manager est configurable, quotas par projet. Pour plus d’informations, voir les quotas de ressources dans la documentation du gestionnaire de certificat.
Si vous utilisez un équilibreur de chargement qui prend en charge le gestionnaire de certificat et que vous devez héberger plus de quelques certificats SSL par proxy cible, assurez-vous d’utiliser le gestionnaire de certificat au lieu de calculer les ressources de certificat SSL moteur SSL.
Méthode de sélection de certificat
Après qu’un client se soit connecté à un équilibreur de charge HTTP (S) ou SSL, le client et l’équilibreur de charge négocient une session TLS. Pendant la négociation de la session TLS, le client envoie à l’équilibreur de charge une liste de chiffrements TLS qu’il prend en charge (dans le clienthello). L’équilibreur de charge sélectionne un certificat dont l’algorithme de clé publique est compatible avec le client. Le client peut également envoyer un nom d’hôte d’indication de nom de serveur (SNI) à l’équilibreur de charge dans le cadre de cette négociation. Les données de nom d’hôte SNI sont parfois utilisées pour aider l’équilibreur à chargement à choisir le certificat qu’il doit envoyer au client.
Vous pouvez modéliser le processus que les équilibreurs de chargement Proxy Google Cloud utilisent pour sélectionner un certificat à envoyer à un client comme suit. Dans votre modèle, commencez par tous les certificats SSL qui ont été configurés sur le proxy HTTPS cible ou le proxy SSL cible – Imposition de la méthode de configuration.
- L’équilibreur de charge sélectionne un seul candidat de certificat:
- Si le proxy cible d’un équilibreur de charge fait référence à une seule ressource de certificat de certificat SSL moteur de calcul, ou si le proxy cible d’un équilibreur de charge fait référence à une carte de gestionnaire de certificat avec une seule entrée de certificat, l’équilibreur de chargement utilise le seul et unique certificat configuré comme candidat de certificat. La valeur du nom d’hôte SNI (si fourni) n’influence pas du tout l’équilibreur de charge. Passez à l’étape 2.
- Si le proxy cible d’un équilibreur de charge fait référence à deux ou plusieurs ressources de certificat de certificat SSL en moteur, ou si le proxy cible d’un équilibreur de charge fait référence seul candidat au certificat:
- Si le client n’envoie aucun nom d’hôte SNI dans son clienthello, l’équilibreur de chargement utilise le certificat SSL par défaut (primaire) comme candidat au certificat. Passez à l’étape 2.
- Si le client envoie un nom d’hôte SNI qui ne correspond à aucun certificat de nom commun (CN) et ne correspond à aucun nom alternatif (SAN), Balancer de chargement utilise le certificat SSL par défaut (primaire) comme candidat au certificat. Passez à l’étape 2.
- L’équilibreur de charge sélectionne un candidat de certificat qui correspond au nom d’hôte SNI envoyé par le client. L’appariement se fait par le plus long préfixe contre les attributs de certificat de nom alternatif (CN) et de nom alternatif (SAN), avec une préférence pour les certificats ECDSA sur les certificats RSA. Pour illustrer la méthode d’appariement, considérez un proxy cible qui fait référence à un certificat dont le CN est les chats.animaux domestiques.exemple.com et un autre certificat dont le CN est des chiens.animaux domestiques.exemple.com . En plus d’inclure chaque valeur CN dans ses SAN, chaque certificat comprend *.animaux domestiques.exemple.com, et *.exemple.com dans ses sans.
- Si le nom d’hôte Sni fourni est des chats.animaux domestiques.exemple.com, l’équilibreur de charge utilise le certificat dont le CN est des chats.animaux domestiques.exemple.com en tant que candidat au certificat. Passez à l’étape 2.
- Si le nom d’hôte SNI fourni est des furets.animaux domestiques.exemple.com, l’équilibreur de charge utilise un des deux certificats comme candidat de certificat parce que les deux certificats configurés ont des SANS qui incluent *.animaux domestiques.exemple.com . Vous ne pouvez pas contrôler lequel des deux Les certificats deviennent le candidat du certificat dans cette situation. Passez à l’étape 2.
- Le candidat au certificat est envoyé au client si le candidat du certificat utilise un algorithme de clé public compatible avec l’un des chiffres déclarés du client.
- La négociation TLS peut échouer si le client ne prend pas en charge une suite de chiffres qui inclut l’algorithme de clé publique (ECDSA ou RSA) du certificat.
- L’équilibreur de charge n’utilise pas les attributs notvalidBefor et notvalidafter du certificat comme partie de la méthode de sélection des candidats. Par exemple, l’équilibreur de charge peut servir un certificat expiré si le certificat expiré a été sélectionné comme candidat au certificat.
Prix
Vous engagez des frais de réseautage lorsque vous utilisez Google Cloud Load Balancers. Pour plus d’informations, consultez tous les prix de réseautage. Pour les prix du gestionnaire de certificat, voir les prix dans la documentation du gestionnaire de certificat. Il n’y a pas de frais supplémentaires pour l’utilisation.
Et après
- Pour plus d’informations sur les certificats SSL du moteur de calcul, consultez les pages suivantes:
- Pour plus d’informations sur les certificats SSL de moteur de calcul autogérés, voir Utiliser les certificats SSL autogérés.
- Pour plus d’informations sur les certificats SSL de moteur de calcul gérés par Google, voir Utiliser les certificats SSL gérés par Google.
- Pour en savoir plus sur les quotas et les limites (y compris les longueurs de clés prises en charge) pour les certificats SSL moteur de calcul, voir les certificats SSL et les pools cibles et les procurations cibles dans la documentation de l’équilibrage de chargement.
- Présentation du gestionnaire de certificat.
- Pour plus d’informations sur les certificats SSL autogérés et le gestionnaire de certificats, consultez Télécharger un certificat autogéré dans la documentation du gestionnaire de certificat ou déployer un certificat autogéré pour un tutoriel de bout en bout.
- Pour plus d’informations sur les certificats SSL gérés par Google et le gestionnaire de certificats, voir Gérer les certificats dans la documentation du gestionnaire de certificat.
- Pour en savoir plus sur les quotas et les limites du gestionnaire de certificat, voir les quotas de ressources dans la documentation du gestionnaire de certificat.
Essayez-le par vous-même
Si vous êtes nouveau dans Google Cloud, créez un compte pour évaluer comment nos produits fonctionnent dans les scénarios du monde réel. Les nouveaux clients obtiennent également 300 $ en crédits gratuits pour exécuter, tester et déployer des charges de travail.
Envoyer des commentaires
Sauf indication contraire, le contenu de cette page est licencié sous l’attribution Creative Commons 4.0 Licence et les échantillons de code sont sous licence sous l’Apache 2.0 Licence. Pour plus de détails, consultez les politiques du site Google Developers. Java est une marque déposée d’Oracle et / ou de ses affiliés.
Dernière mise à jour 2023-05-08 UTC.
Utilisez des certificats SSL gérés par Google
Cette page explique comment créer et utiliser des certificats SSL gérés par Google.
Les certificats SSL gérés par Google sont des certificats de validation du domaine (DV) que Google Cloud obtient et gère vos domaines. Ils prennent en charge plusieurs noms d’hôtes dans chaque certificat, et Google renouvelle automatiquement les certificats.
Les certificats gérés par Google sont pris en charge avec les équilibreurs de charge suivants:
- Équilibreur de charge HTTP (s) externe global
- Équilibreur de charge HTTP (s) externe global (classique)
- Équilibreur de charge proxy SSL externe
Les certificats SSL gérés par Google ne sont pas pris en charge pour les équilibreurs de charge HTTP (s) externes régionaux et les équilibreurs de charge HTTP (s) internes. Pour ces équilibreurs de charge, utilisez des certificats SSL autogérés.
Vous pouvez également utiliser des certificats SSL gérés avec le moteur Google Kubernetes. Pour plus d’informations, voir en utilisant des certificats SSL gérés par Google.
Vous pouvez créer un certificat géré par Google avant, pendant ou après avoir créé votre équilibreur de chargement. Cette page suppose que vous créez le certificat avant ou après la création de l’équilibreur de charge, pas pendant. Pour créer le certificat lors de la création de votre équilibreur de charge, consultez les pages pratiques de l’équilibreur de charge.
Avant que tu commences
- Assurez-vous que vous connaissez la vue d’ensemble des certificats SSL.
- Assurez-vous que vous avez les noms de domaine que vous souhaitez utiliser pour votre certificat SSL géré par Google. Si vous utilisez Google Domains, consultez l’étape 1: enregistrez un nom de domaine à l’aide des domaines Google.
- Assurez-vous que vous avez activé l’API de calcul du moteur pour votre projet. Activer l’API du moteur de calcul
Autorisation
Pour suivre ce guide, vous devez être en mesure de créer et de modifier les certificats SSL dans votre projet. Vous pouvez le faire si l’un des éléments suivants est vrai:
- Vous êtes propriétaire d’un projet ou éditeur (rôles / propriétaire ou rôles / éditeur).
- Vous avez à la fois le rôle d’administration de la sécurité du calcul (calcul.SecurityAdmin) et le rôle d’administration du réseau de calcul (calculer.NetworkAdmin) dans le projet.
- Vous avez un rôle personnalisé pour le projet qui comprend le calcul.sslcertificates.* Autorisations et une ou les deux de calcul.targethtpsproxies.* et calculer.ciblesslproxies.*, en fonction du type d’équilibreur de charge que vous utilisez.
Étape 1. Créer un certificat SSL géré par Google
Vous pouvez créer un certificat géré par Google avant, pendant ou après avoir créé votre équilibreur de chargement. Pendant le processus de création d’un équilibreur de charge dans la console Google Cloud, vous pouvez utiliser la console Google Cloud pour créer votre certificat. Alternativement, vous pouvez créer votre certificat avant ou après la création de votre équilibreur de chargement. Cette étape vous montre comment créer un certificat que vous pouvez ajouter plus tard à un ou plusieurs équilibreurs de chargement.
Si vous avez déjà créé votre certificat SSL géré par Google, vous pouvez sauter cette étape.
Console
Vous pouvez travailler avec des certificats SSL mondiaux sur le Certificats classiques Onglet sur le Gestionnaire de certificat page.
- Aller au Certificats classiques Onglet dans la console Google Cloud.
Aller aux certificats classiques - Cliquez sur Créer un certificat SSL.
- Entrez un nom et une description facultative du certificat.
- Sélectionner Créer un certificat géré par Google.
- Ajouter les domaines.
- Cliquez sur Créer.
gcloud
Pour créer un certificat SSL géré par Google pour un équilibreur de charge HTTP (s) externe global ou un équilibreur de charge proxy SSL externe, utilisez la commande GCLOUD COMPUTE SSL-CERTIFATS CREATE:
gcloud calcul ssl-certificates crée NOM DU CERTIFICAT \ --déscription =DESCRIPTION \ --domaines =Domain_list \ --mondial
Remplacez ce qui suit:
- Certificate_name: un nom pour le certificat Global SSL
- Description: Une description du certificat SSL global
- Domain_list: un nom de domaine unique ou une liste de noms de domaine dédiée à des virgules à utiliser pour ce certificat
Terraform
Pour créer le certificat SSL géré par Google, utilisez la ressource Google_Compute_Managed_SSL_Certificate.
Ressource "Google_Compute_Managed_SSL_Certificate" "lb_default" < provider = google-beta name = "myservice-ssl-cert" managed < domains = [var.domain_name] >>API
Créer les ressources de certificat à gestion Google SSLCertificates.Insérer la méthode, remplacer Project_id par votre identifiant de projet.
Post https: // calcul.googleapis.com / calcul / v1 / projets / [project_id] / global / sslcertificates < "name": "ssl-certificate-name", "managed": < "domains": [ "www.example.com" ] >, "type": "géré">Vérifiez l’état d’un certificat SSL géré par Google
Console
Vous pouvez vérifier l’état de vos certificats SSL mondiaux sur le Certificats classiques Onglet sur le Gestionnaire de certificat page.
- Aller au Certificats classiques Onglet dans la console Google Cloud.
Aller aux certificats classiques - (Facultatif) Filtrez la liste des certificats SSL.
- Vérifier la Statut colonne.
- Pour afficher plus de détails, cliquez sur le nom du certificat.
gcloud
Pour déterminer l’état de votre certificat géré par Google, vous pouvez utiliser les commandes de calcul gcloud. Après avoir exécuté la commande appropriée, notez ce qui suit:
Pour répertorier vos certificats SSL gérés par Google, utilisez la commande de liste SSL-Certificates Gcloud Compute avec l’indicateur –global .
gcloud calcul ssl-certificates list \ --global
Vous pouvez utiliser la commande GCLOUD COMPUTE SSL-CERTIFATATS DÉCRIRE, Remplacement Certificate_name:
gcloud calculer les certificats SSL décrivent NOM DU CERTIFICAT \ --global \ - format = "get (nom, géré.statut, géré.domainstatus) "
À ce stade, le statut de certificat et le statut de domaine provisionnent . Après avoir terminé les étapes de cette page, les statuts passent en actif .
Pour plus d’informations sur les statuts, consultez la page de dépannage.
Étape 2: Créez ou mettez à jour votre équilibreur de chargement
Pour devenir actif, le certificat SSL géré par Google doit être associé à un équilibreur de charge, en particulier le proxy cible de l’équilibreur de chargement.
Après avoir créé votre certificat SSL et il se trouve dans l’état d’approvisionnement, vous pouvez l’utiliser lors de la création de votre équilibreur de charge, comme décrit dans les guides pratiques suivants:
- Configurez un équilibreur de charge HTTP (s) externe global avec un backend de moteur de calcul
- Configurez un équilibreur de charge HTTP (S) externe global (classique) avec un backend de moteur de calcul
- Configurez un équilibreur de charge proxy SSL externe
Ou vous pouvez l’utiliser pour mettre à jour un équilibreur de charge existant, comme décrit ici:
Console
Lorsque vous mettez à jour un équilibreur de chargement HTTP (s) externe global ou un équilibreur de charge SSL externe à l’aide de la console Google Cloud, Google Cloud associe automatiquement votre certificat SSL avec le proxy cible correct.
- Aller au L’équilibrage de charge page dans la console Google Cloud.
Aller à l’équilibrage de chargement - Cliquez sur le nom de votre équilibreur de chargement.
- Cliquez sur Modifier modifier .
- Cliquez sur Configuration du frontend.
- Cliquez sur la bonne extrémité (doit être HTTPS, HTTP / 2, SSL).
- Cliquez sur Certificats supplémentaires, et sélectionnez votre certificat géré par Google dans la liste déroulante.
- Cliquez sur Créer.
gcloud
Pour associer un certificat SSL avec le proxy HTTPS cible pour un équilibreur de charge HTTP (s) externe global, utilisez la commande de mise à jour GCLOUD COMPUTE-HTTPS-Proxies avec la commande – Global-SSL-certificats et – Global Flags:
GCLOUD COMPUTE Target-HTTPS-Proxies Mise à jour Target_proxy_name \ --ssl-certificats Ssl_certificate_list \ --global-ssl-certificats \ --global
Pour associer un certificat SSL avec le proxy SSL cible pour un équilibreur de charge de proxy SSL externe, utilisez la commande de mise à jour GCLoud Compute Target-SSL-Proxies:
GCLOUD COMPUTE Target-SSL-Proxies Mise à jour Target_proxy_name \ --ssl-certificats Ssl_certificate_list
Remplacez ce qui suit:
- Target_proxy_name: le nom du proxy cible de l’équilibreur de chargement
- SSL_CERTIFICATE_LIST: Une liste de ressources de certificat SSL en virgule s’assure que la liste des certificats référencés comprend tous les certificats SSL valides plus anciens ainsi que le nouveau certificat SSL. La commande de mise à jour GCLoud Calte Calpe Coupez-SSL-Proxies remplace les valeurs d’origine pour – ssl-certificats avec la nouvelle valeur.
Terraform
Pour créer le proxy HTTPS cible, utilisez la ressource Google_Compute_Target_HTTPS_PROXY.
Pour créer le proxy SSL cible, utilisez la ressource Google_Compute_Target_SSL_Proxy.
Ressource "Google_Compute_Target_HTTPS_PROXY" "LB_DEFAULT"
Chaque proxy HTTPS cible ou proxy SSL cible doit référencer au moins un certificat SSL. Un proxy cible peut référencer plus d’un certificat SSL. Pour plus de détails, voir les pools cibles et les procurations cibles dans les quotas et limites de ressources d’équilibrage de chargement.
Important: Pour les équilibreurs de charge proxy SSL externes avec des certificats SSL gérés par Google, la règle de transfert de l’équilibreur de charge doit utiliser le port TCP 443 pour le certificat géré par Google.
Étape 3: Vérifiez l’association de proxy cible
Après avoir créé ou mis à jour votre équilibreur de chargement, vous pouvez vous assurer que le certificat SSL est associé au proxy cible de votre équilibreur de chargement.
Si vous ne connaissez pas déjà le nom du proxy cible, utilisez la liste GCLoud Compute Target-HTTPS-Proxies et les commandes GCLOUD COMPUTE Target-SSL-Proxies pour répertorier les procurations cibles de votre projet.
Vérifiez l’association entre le certificat SSL et le proxy cible en exécutant la commande suivante.
Pour les équilibreurs de charge HTTP (S) externes mondiaux:
gcloud calculer cible-https-proxies décrire Target_https_proxy_name \ --global \ - format = "get (sslcertificates)"
Pour les équilibreurs de charge proxy SSL externes:
gcloud calculer cible-ssl-proxies décrivant Cible_ssl_proxy_name \ - format = "get (sslcertificates)"
À ce stade, votre statut de certificat géré par Google pourrait toujours être provisoire . Google Cloud travaille avec l’autorité de certificat pour délivrer le certificat. L’approvisionnement d’un certificat géré par Google pourrait prendre jusqu’à 60 minutes.
Étape 4: Mettez à jour les enregistrements DNS A et AAAA pour pointer vers l’adresse IP de l’équilibreur de chargement
Vos enregistrements DNS peuvent être gérés sur le site de votre registraire, l’hôte DNS ou le FAI. Lorsque vos enregistrements DNS sont gérés, assurez-vous d’ajouter ou de mettre à jour les enregistrements DNS (pour IPv4) et DNS AAAA (pour IPv6) pour vos domaines et tous les sous-domaines.
Assurez-vous que les enregistrements indiquent l’adresse IP qui est associée à la règle ou aux règles de transfert de l’équilibreur de charge en utilisant un enregistrement A / AAAA.
Si vous avez plusieurs domaines dans un certificat géré par Google, ajoutez ou mettez à jour les enregistrements DNS pour tous les domaines et sous-domaines. Ils doivent tous indiquer l’adresse IP de votre équilibreur de chargement.
Les certificats gérés peuvent être prévus avec succès si ce qui suit est vrai:
- Les enregistrements DNS de votre domaine utilisent un enregistrement CNAME qui pointe vers un autre domaine.
- L’autre domaine contient un enregistrement A ou AAAA qui pointe vers l’adresse IP de votre équilibreur de chargement.
Vous pouvez vérifier votre configuration en exécutant la commande Dig. Par exemple, supposons que votre domaine soit www.exemple.com . Exécutez la commande DIG suivante:
Dig www.exemple.com
; > Creu 9.dix.6> www.exemple.com ;; Options globales: + CMD ;; J'ai une réponse: ;; - >> En-tête
Dans cet exemple, 34.95.64.10 est l'adresse IP de votre équilibreur de chargement.
DNS Resolvers sur Internet est en dehors du contrôle de Google Cloud. Ils mettent en cache vos ensembles d'enregistrements de ressources en fonction de leur temps pour vivre (TTL), ce qui signifie qu'une commande DIG ou NSLookup peut renvoyer une valeur mise en cache. Si vous utilisez le DNS Cloud, consultez la propagation des changements.
DNS Temps de propagation d'enregistrement
Les enregistrements DNS A et AAAA nouvellement mis à jour peuvent prendre beaucoup de temps pour se propager pleinement. Parfois, la propagation sur Internet dure jusqu'à 72 heures dans le monde, bien que cela prenne généralement quelques heures.
Relancer la commande suivante:
gcloud calculer les certificats SSL décrivent NOM DU CERTIFICAT \ - format = "get (géré.domainstatus) "
Si votre statut de domaine est échoué_NOT_VISIBLE, cela peut être dû au fait que la propagation n'est pas complète.
Étape 5: Tester avec OpenSSL
Une fois le certificat et les statuts de domaine actifs, il peut prendre jusqu'à 30 minutes pour que votre équilibreur de chargement commence à utiliser votre certificat SSL géré par Google.
Pour tester, exécutez la commande OpenSSL suivante, en remplaçant le domaine par votre nom DNS et IP_ADdress par l'adresse IP de votre équilibreur de chargement.
Echo | OpenSSL S_Client -Showcerts -ServerName DOMAINE -connecter ADRESSE IP: 443 -Veerify 99 -Verify_return_error
Cette commande publie les certificats que l'équilibreur de charge présente au client. Avec d'autres informations détaillées, la sortie doit inclure la chaîne de certificat et vérifier le code de retour: 0 (OK) .
Procédures supplémentaires
Cette section contient des procédures supplémentaires pour gérer vos certificats.
Prise en charge de plusieurs domaines avec un certificat SSL géré par Google
Plusieurs noms alternatifs de sujet sont pris en charge. Chaque certificat SSL géré par Google prend en charge le nombre maximum de domaines par certificat SSL géré par Google.
Si vous avez plus que le nombre maximum de domaines, vous devez demander plusieurs certificats gérés par Google. Par exemple, si vous essayez de créer un certificat géré par Google avec (les domaines maximum + 1), Google n'émet aucun certificat. Au lieu de cela, vous devez créer deux ou plusieurs certificats gérés par Google et indiquer explicitement quels domaines sont associés à chaque certificat.
Google Cloud implémente l'indication du nom du serveur (SNI), tel que défini dans RFC 6066.
Si l'un des domaines ou des sous-domaines d'un certificat géré ne pointe pas vers l'adresse IP de l'équilibreur de chargement, le processus de renouvellement échoue. Pour éviter l'échec du renouvellement, assurez-vous que tous vos domaines et sous-domaines pointent vers l'adresse IP de l'équilibreur de chargement.
Renouveler un certificat SSL géré par Google
Google Cloud Dispositions gérées Certificats Valable pendant 90 jours. Environ un mois avant l'expiration, le processus pour renouveler votre certificat commence automatiquement. Pour cela, une autorité de certificat (CA) est choisie qui se trouve à la fois dans le dossier de l'autorisation de l'autorisation de certification (CAA) de votre domaine et dans la liste de CAS.
Le CA utilisé pour le renouveau pourrait être différent de l'AC utilisé pour émettre une version précédente de votre certificat géré par Google. Vous pouvez contrôler l'AC que Google Cloud utilise pour le renouvellement en vous assurant que l'enregistrement CAA DNS de votre domaine spécifie un seul CA à partir de la liste des CAS que les certificats gérés par Google utilisent.
Si l'un des domaines ou des sous-domaines d'un certificat géré ne pointe pas vers l'adresse IP de l'équilibreur de chargement, le processus de renouvellement échoue. Pour éviter l'échec du renouvellement, assurez-vous que tous vos domaines et sous-domaines pointent vers l'adresse IP de l'équilibreur de chargement.
Spécifiez le CAS qui peut délivrer votre certificat géré par Google
Dans votre logiciel DNS, nous vous recommandons d'autoriser explicitement le CAS que vous souhaitez autoriser à délivrer votre certificat géré par Google. Bien qu'il ne soit pas requis dans chaque scénario, cela est nécessaire dans certaines situations.
Par exemple, si vous utilisez un service DNS externe et que votre certificat géré par Google est révoqué, le service ne peut valider qu'un nouveau certificat délivré par un ou plusieurs CAS spécifiques.
Pour ce faire, créez ou modifiez un enregistrement CAA pour inclure PKI.goog ou laisscrypt.org ou les deux. Si vous n'avez pas d'enregistrement CAA, le comportement par défaut est de permettre aux deux PKI.goog et lentencrypt.org .
DOMAINE. CAA 0 Numéro "PKI.goog " DOMAINE. Numéro de CAA 0 "LetSencrypt.org "
Prise en charge de LetSencrypt.Les certificats d'organes sont fournis sur la base des meilleurs efforts. Pour une meilleure fiabilité, permettez les deux PKI.goog et lentencrypt.org . Si vous spécifiez un seul des CAS, seulement ce CA est utilisé pour créer et renouveler votre certificat. Cette approche n'est pas recommandée.
Lorsque vous créez votre certificat pour la première fois, Google Cloud sélectionne PKI.goog ou laisscrypt.org et l'utilise pour délivrer votre certificat. Lorsque Google renouvelle votre certificat, votre certificat peut être délivré par l'autre CA, selon le CAS que vous avez spécifié dans le dossier CAA (si vous en avez créé un). Votre certificat peut être renouvelé par un CA différent dans l'un des cas suivants:
- Vous n'avez pas de dossier CAA DNS pour votre domaine.
- Vous avez inclus à la fois le CAS dans le DNS CAA Record.
Pour plus d'informations, consultez l'enregistrement RFC, CAA DNS.
Laissez-le.Org Problèmes de noms de domaine internationalisés (IDN). pki.goog ne prend pas actuellement en charge les identifiants.
Si vous utilisez Cloud DNS, apprenez à ajouter un enregistrement et assurez-vous de définir l'indicateur - Type sur CAA .
Note: Lorsque vous ajoutez un CA dans le dossier CAA, il peut prendre beaucoup de temps pour que le DNS propage ce changement et le rendre visible pour le CA. En conséquence, le processus de renouvellement du certificat pourrait initialement échouer, mais finit par réussir. Pour plus d'informations, consultez le dépannage des certificats SSL.
Remplacer un certificat SSL existant
Pour remplacer un certificat SSL existant:
- Démarrer le processus de création du certificat SSL géré par Google de remplacement. Ce certificat ne devient pas actif à ce stade.
- Mettez à jour le proxy cible afin que la liste des certificats référencés comprenne le certificat SSL de remplacement ainsi que les certificats SSL actuels. Les étapes pour mettre à jour le proxy cible varient, comme suit:
- Mettre à jour un proxy HTTPS cible
- Mettre à jour un proxy SSL cible
Note: Pour continuer à servir le trafic, le proxy cible doit continuer à faire référence aux certificats SSL actuels. Pour que le certificat de remplacement pour terminer son processus d'approvisionnement, le proxy cible doit également référencer le certificat de remplacement.
- Attendez que le certificat SSL de remplacement termine l'approvisionnement. L'approvisionnement pourrait prendre jusqu'à 60 minutes. Une fois l'approvisionnement terminé, le statut de certificat devient actif . Note: L'approvisionnement d'un certificat géré par Google pourrait prendre 60 minutes À partir du moment où vos modifications de configuration DNS et de chargement de chargement se sont propagées sur Internet. Si vous avez mis à jour votre configuration DNS récemment, cela peut prendre beaucoup de temps pour les modifications propager complètement. Parfois, la propagation dure jusqu'à 72 heures dans le monde, bien que cela prenne généralement quelques heures. Pour plus d'informations sur la propagation DNS, voir la propagation des changements.
- Attendez 30 minutes supplémentaires pour vous assurer que le certificat de remplacement est disponible pour toutes les pointes frontales Google (GFES).
- Mettez à jour le proxy cible pour supprimer le certificat SSL que vous remplacez de la liste des certificats référencés. Les étapes pour mettre à jour un proxy cible varient, comme suit:
- Mettre à jour un proxy HTTPS cible
- Mettre à jour un proxy SSL cible
- Attendez 10 minutes et confirmez que l'équilibreur de charge utilise le certificat SSL de remplacement au lieu de l'ancien.
- Mettez à jour le proxy cible à nouveau, en supprimant l'ancienne ressource de certificat SSL. Vous pouvez supprimer la ressource de certificat SSL si elle n'est plus référencée par un proxy cible.
Si vous ne supprimez pas l'ancien certificat SSL, il reste actif jusqu'à ce qu'il expire.
Migrer des certificats SSL autogérés vers les certificats SSL gérés par Google
Lorsque vous migrez un équilibreur de charge de l'utilisation de certificats SSL autogérés vers des certificats SSL gérés par Google, vous devez effectuer les étapes suivantes dans cette séquence:
- Créer un nouveau certificat géré par Google.
- Associez un nouveau certificat géré par Google avec le bon proxy cible tout en maintenant l'association de proxy cible avec le certificat autogéré existant.
- Attendez que le statut de certificat géré par Google soit actif .
- Attendez 30 minutes pour permettre au nouveau certificat de se propager pour servir Google frontal (GFES)
- Mettez à jour le proxy cible à nouveau, en supprimant la ressource de certificat autogérée. Vous pouvez supprimer la ressource de certificat SSL autogérée si elle n'est plus référencée par un proxy cible.
Supprimer un certificat SSL
Avant de supprimer un certificat SSL, assurez-vous qu'aucun proxy HTTPS ou SSL ne fait référence à ce certificat. Vous pouvez le faire de deux manières:
- Supprimer les proxys cibles qui font référence à ce certificat.
- Mettez à jour les proxys cibles qui font référence à ce certificat pour l'exclure. Les étapes varient, comme suit:
- Mettre à jour un proxy cible HTTPS.
- Mettre à jour un proxy cible SSL.
Pour supprimer un ou plusieurs certificats SSL:
Console
Vous pouvez supprimer les certificats SSL mondiaux sur le Certificats classiques Onglet sur le Gestionnaire de certificat page.
- Aller au Certificats classiques Onglet dans la console Google Cloud.
Aller aux certificats classiques - Sélectionnez le certificat SSL que vous souhaitez supprimer.
- Cliquez sur Supprimer Supprimer.
- Pour confirmer, cliquez sur Supprimer Supprimer encore.
gcloud
Pour supprimer un certificat SSL global (pour les équilibreurs de charge HTTP (s) externes globaux ou les équilibreurs de charge proxy SSL externes), utilisez la commande de supprimer SSL Certificates SSL avec la commande --global:
gcloud calcul ssl-certificates supprimer NOM DU CERTIFICAT \ --mondial
Remplacez ce qui suit:
- Certificate_name: le nom du certificat SSL
Et après
- Pour dépanner les certificats SSL, voir le dépannage des certificats SSL.
- Pour utiliser un script TerraForm qui crée un certificat géré par Google, voir l'exemple d'exécution du cloud sur le Exemples de modules Terraform pour l'équilibreur de charge HTTP (s) externe page.
Envoyer des commentaires
Sauf indication contraire, le contenu de cette page est licencié sous l'attribution Creative Commons 4.0 Licence et les échantillons de code sont sous licence sous l'Apache 2.0 Licence. Pour plus de détails, consultez les politiques du site Google Developers. Java est une marque déposée d'Oracle et / ou de ses affiliés.
Dernière mise à jour 2023-05-08 UTC.
Google émet-il des certificats SSL
Étapes simples pour sécuriser votre site Web
Tout domaine que vous vous inscrivez avec Google Domains est livré avec la protection de la confidentialité, le DNSEC en un clic et la vérification Google en 2 étapes - le tout sans frais supplémentaire. Que vous’Ren lancement d'un projet parallèle ou élargir votre entreprise’S Présence en ligne, voici quelques étapes faciles que vous pouvez prendre pour mieux protéger votre site Web.
Obtenez un certificat SSL pour crypter votre site Web
Sécurisez votre site Web et protégez vos utilisateurs’ Informations avec le cryptage HTTPS en installant un certificat SSL. Un certificat SSL conserve des informations sensibles comme les données de carte de crédit privées en brouillant des données lors de ses déplacements vers et depuis votre site Web. Et le cryptage HTTPS garantit que personne ne peut accéder ou surveiller les communications vers ou depuis votre site Web.
Protégez votre site Web du décapage SSL
L'installation d'un certificat SSL est un must, mais SSL seul n'est pas’t complètement à l'épreuve du piratage: vous devriez également utiliser le HSTS-préchargement. Sans HSTS, quelqu'un peut essayer de supprimer votre site Web de son certificat SSL afin qu'il puisse charger vos pages sur HTTP (au lieu de HTTPS). La meilleure façon de protéger votre site Web contre le décapage SSL est d'utiliser un nom de domaine HSTS-préchargé ou d'ajouter votre site Web à la liste HSTS-Preload (une liste de sites Web que les navigateurs modernes ne chargent que sur une connexion cryptée). Voici deux façons de figurer sur la liste HSTS-Preload:
Enregistrer un nom de domaine qui’s hSTS-préchargé (recommandé)
Le moyen le plus rapide de figurer sur la liste HSTS-Preload est d'utiliser un domaine se terminant comme .appliquer, .dev, ou .page que’S déjà sur la liste. Tout site Web avec un domaine de haut niveau (TLD) sur la liste est automatiquement protégé par HSTS-préchargement.
Ajoutez votre site Web à la liste
Les propriétaires de sites Web peuvent ajouter individuellement leur site Web à la liste HSTS-Preload sur HSTSPRELOAD.org. Mais gardez à l'esprit, c'est un processus lent car les mises à jour de la liste peuvent ne pas être reconnues par un navigateur jusqu'à une mise à jour ou une nouvelle version. Il peut prendre des mois à tous les navigateurs modernes pour reconnaître que votre site Web a été ajouté.