Use certificados SSL gerenciados pelo Google

Resumo:

Neste artigo, discutiremos o uso de certificados SSL gerenciados pelo Google para balanceadores de carga no Google Cloud. Abordaremos a visão geral dos certificados SSL, os métodos para configurá -los, os tipos de certificados disponíveis e como eles podem ser usados ​​com o Google Cloud Load Balancers.

Pontos chave:

  1. A segurança da camada de transporte (TLS) é usada para criptografar informações sobre uma rede.
  2. Os balanceadores de carga do proxy do Google Cloud exigem certificados SSL para criptografia.
  3. Existem dois métodos para configurar certificados SSL: Compute Motor SSL Certificado Recurso e gerente de certificados.
  4. Certificados SSL auto-gerenciados e gerenciados pelo Google estão disponíveis.
  5. Certificados auto-gerenciados podem ser validação de domínio (DV), validação da organização (OV) ou certificados de validação estendida (EV).
  6. Os balanceadores de carga do Google Cloud suportam diferentes tipos de certificados SSL com base na camada.
  7. Vários certificados SSL podem ser hospedados em um único proxy de destino.
  8. Os recursos de certificado SSL de mecanismo de computação têm um limite máximo por proxy alvo.
  9. O primeiro certificado SSL do mecanismo de computação é considerado o certificado padrão.
  10. O gerenciador de certificados permite referência a vários certificados usando um mapa de certificado.

Perguntas e respostas:

Q1: Qual é o objetivo dos certificados SSL no Google Cloud Load Balancers?

A1: O objetivo dos certificados SSL é fornecer criptografia entre o balanceador de carga e os clientes acessando o balanceador de carga.

Q2: Quantos métodos estão disponíveis para configurar certificados SSL para balanceadores de carga?

A2: Existem dois métodos disponíveis: Recurso de Certificado SSL de Compute Engine e Gerente de Certificado.

Q3: Que tipos de certificados SSL podem ser usados ​​com os balanceadores de carga do Google Cloud?

A3: Os certificados SSL auto-gerenciados e gerenciados pelo Google podem ser usados. Certificados auto-gerenciados podem ser certificados DV, OV ou EV.

Q4: Quais tipos de balanceadores de carga suportam certificados SSL de mecanismo de computação auto-gerenciados?

A4: balanceador de carga HTTP (s) externo (s) externo (s), balanceador de carga HTTP (s) externo (s) e balanceador de carga de proxy SSL externo em certificados de computação de suporte de suporte premium de suporte premium gerenciado.

Q5: É possível hospedar vários certificados SSL em um único proxy de destino?

A5: Sim, é possível hospedar vários certificados SSL em um único proxy de destino, especialmente quando o balanceador de carga suporta vários nomes de domínio.

Q6: Qual é o número máximo de certificados SSL por proxy de destino ao usar os recursos de certificado SSL de mecanismo de computação?

A6: O número máximo de certificados SSL por proxy de destino é não confundível. Consulte as cotas de balanceamento de carga e limita a documentação para obter mais informações.

Q7: Qual certificado SSL é considerado o certificado padrão ao usar os recursos de certificado SSL de mecanismo de computação?

A7: O primeiro certificado SSL de mecanismo de computação referenciado por um proxy de destino é considerado o certificado padrão para o balanceador de carga.

Q8: Vários certificados SSL podem ser referenciados usando o gerenciador de certificados?

A8: Sim, o gerenciador de certificados permite referenciar vários certificados SSL usando um mapa de certificado.

Q9: Quais balanceadores de carga usam proxies https regionais de destino?

A9: O balanceador de carga (s) de carga (s) externo (s) regional (s) e http (s) usa (s) proxies de alvo regional https regional.

Q10: Qual é o objetivo da segurança da camada de transporte (TLS)?

A10: O TLS da camada de transporte (TLS) é usado para criptografar informações enviadas por uma rede, garantindo a privacidade entre o cliente e o servidor ou o balanceador de carga.

Use certificados SSL gerenciados pelo Google

Antes de excluir um certificado SSL, verifique se não há referências de proxy de destino HTTPS ou SSL. Você pode fazer isso de duas maneiras:

Visão geral dos certificados SSL

A segurança da camada de transporte (TLS) é usada para criptografar informações enquanto são enviadas por uma rede, fornecendo privacidade entre um cliente e um servidor ou balanceador de carga. Google Cloud Proxy Carga Balancers cujas regras de encaminhamento referenciam um proxy HTTPS de destino ou proxy SSL de destino requer uma chave privada e um certificado SSL como parte da configuração de proxy do alvo do balanceador de carga.

Observação: Esta página discute os certificados SSL no contexto da criptografia em trânsito entre um Balancero de Carga de Proxy do Google Cloud e (Downstream) que se conectam ao Google Cloud Load Balancer. Para obter detalhes sobre a criptografia em trânsito entre o Balancero do Google Cloud Load e seus back -ends (upstream), consulte a criptografia nos back -ends.

Métodos de configuração de certificado

O Google Cloud oferece dois métodos para configurar os certificados SSL para balanceadores de carga HTTP (s) e SSL Proxy. Ambos os métodos suportam certificados SSL auto-gerenciados e gerenciados pelo Google.

  • Recurso de certificado SSL de mecanismo de computação: With this method, the target proxy for a global external HTTP(S) load balancer, global external HTTP(S) load balancer (classic), external SSL proxy load balancer, regional external HTTP(S) load balancer, or internal HTTP(S) load balancer is configured to reference a Compute Engine SSL certificate resource. O recurso de certificado SSL contém a chave privada, o certificado correspondente e – opcionalmente – certificados CA. Este método suporta todas as camadas de serviço de rede suportadas pelo balanceador de carga.
  • Gerente de certificado: Com este método, o proxy de destino para um balanceador de carga HTTP (s) externo (s) externo (s), o balanceador de carga HTTP (s) externo (s) ou o balanceador de carga de proxy SSL externo é configurado para referência a um Mapa de certificado. O mapa de certificado contém um ou mais entradas de certificado. Cada entrada de certificado faz referência a um recurso de certificado de certificado único, e cada recurso de certificado contém uma chave privada e certificado. Com o Certificate Manager, um proxy https de destino ou proxy SSL de destino pode fazer referência a um mapa de certificado com milhares de entradas de certificado SSL. Este método está disponível apenas quando o balanceador de carga usa a camada de serviço de rede premium. Para mais informações, consulte a visão geral do gerente de certificação.

Tipos de certificado

Você pode criar seus próprios certificados ou o Google pode gerenciá -los para você:

  • Certificados SSL auto-gerenciados são certificados que você obtém, provisão e renove -se. Certificados auto-gerenciados podem ser qualquer um desses tipos de certificação de chave pública:
    • Validação de domínio (DV)
    • Validação da Organização (OV)
    • Certificados de validação estendida (EV)

    Para obter mais informações sobre certificados SSL de mecanismo de computação auto-gerenciados, consulte Use certificados SSL auto-gerenciados.

    Para obter mais informações sobre certificados SSL auto-gerenciados e gerente de certificados, consulte Upload de um certificado auto-gerenciado na documentação do gerente de certificação ou implante um certificado auto-gerenciado para um tutorial de ponta a ponta.

    Certificados e balanceadores de carga do Google Cloud

    A tabela a seguir mostra quais balanceadores de carga do Google Cloud suportam certificados SSL de mecanismo de computação auto-gerenciados, certificados SSL de mecanismo de computação gerenciados pelo Google ou gerenciador de certificados (certificados auto-gerenciados e gerenciados pelo Google).

    • Balanceador de carga (s) de carga (s) externo (s) externo (s)
    • Balanceador de carga HTTP (s) externo (S)
    • Balanceador de carga de proxy SSL externo em camada premium b
    • Balanceador de carga (clássico) externo externo
    • Balancero de carga de proxy SSL externo no nível padrão B
    • Balanceador de carga (s) de carga (s) externo (s) regional (s)
    • HTTP interno (s) Balancero de carga C

    a O balanceador de carga HTTP externo global e o balanceador de carga (s) de carga (s) de HTTP (clássico) de http externo (s) usa proxies HTTPs de destino global, mesmo quando um balanceador de carga externo (s) externo (s) externo (s) usa camada padrão.

    B O Balancero de Carga de Proxy SSL externo usa proxies SSL de destino global, mesmo em camada padrão.

    c O balanceador de carga (s) de carga (s) externo (s) externo (s) e http (s) usa de balanceador de carga https https proxies de alvo regional https.

    Vários certificados SSL

    Você pode usar o mesmo proxy HTTPS de destino ou proxy SSL de destino para hospedar vários certificados – comum quando o balanceador de carga suporta vários nomes de domínio. Você pode configurar uma única regra de encaminhamento (um único endereço IP e porta) para referenciar um proxy de destino comum ou pode configurar várias regras de encaminhamento (diferentes endereços IP e portas) para referenciar um proxy de destino comum.

    Recursos de certificado SSL de mecanismo de computação múltipla

    Ao usar os recursos de certificado SSL de mecanismo de computação, cada recurso de proxy-alvo pode fazer referência a um não confundível Número máximo de certificados SSL por alvo HTTPS ou Proxy SSL de destino. Para obter mais informações, consulte os pools -alvo e proxies -alvo nas cotas de balanceamento de carga e documentação de limites.

    O primeiro recurso de certificado SSL do mecanismo de computação referenciado pelo proxy -alvo de um balanceador de carga é considerado o certificado padrão (primário) para o balanceador de carga.

    Vários certificados SSL usando gerente de certificado

    Ao usar o gerenciador de certificados, cada recurso de proxy de destino faz referência a um único mapa de certificado. Um mapa de certificado faz referência a uma ou mais entradas de certificado e você pode configurar qual entrada de certificado é o certificado padrão (primário) para o mapa. O número de mapas, entradas e certificados de gerente de certificação são configuráveis, cotas por projeto. Para obter mais informações, consulte Cotas de Recursos na Documentação do Gerenciador de Certificação.

    Se você estiver usando um balanceador de carga que suporta gerente de certificação e precisará hospedar mais de alguns certificados SSL por procuração de destino, verifique se está usando o gerenciador de certificados em vez de computar recursos de certificado de mecanismo.

    Método de seleção de certificado

    Depois que um cliente se conecta a um balanceador de carga HTTP (S) ou SSL Proxy, o cliente e o balanceador de carga negociam uma sessão TLS. Durante a negociação da sessão do TLS, o cliente envia ao balanceador de carga uma lista de cifras de TLS que ele suporta (no clientehello). O balanceador de carga seleciona um certificado cujo algoritmo de chave pública é compatível com o cliente. O cliente também pode enviar um nome de host de nome do servidor (SNI) para o balanceador de carga como parte desta negociação. Os dados do nome do host SNI às vezes são usados ​​para ajudar a escolha do balanceador de carga qual certificado deve enviar ao cliente.

    Você pode modelar o processo que os balanceadores de carga do Google Cloud usa para selecionar um certificado para enviar a um cliente da seguinte forma. No seu modelo, comece com todos os certificados SSL que foram configurados no proxy HTTPS de destino ou proxy SSL de destino – indefinido do método de configuração.

    1. O balanceador de carga seleciona um único candidato de certificado:
      • Se o alvo proxy de um balanceador de carga faz referência a apenas um recurso de certificado SSL do mecanismo de computação, ou se se o alvo de um balanceador de carga faz referência a um mapa do gerente de certificado com apenas uma entrada de certificado, o balanceador de carga usa o único certificado configurado como o candidato de certificado. O valor do nome do host SNI (se fornecido) não influencia o balanceador de carga. Prossiga para a etapa 2.
      • Se um proxy -alvo de um balanceador de carga faz referência a dois ou mais recursos de certificado SSL de mecanismo de computação ou se um proxy de alvo de um balanceador de carga faz referência a um mapa do gerente de certificado com duas ou mais entradas de certificado, o balanceador de carga usa o seguinte processo para selecionar um solteiro Candidato de certificado:
        • Se o cliente não enviar nenhum nome de host SNI em seu ClientHello, o balanceador de carga usará o certificado SSL padrão (primário) como o candidato de certificado. Prossiga para a etapa 2.
        • Se o cliente enviar um nome de host SNI que não corresponde a nenhum nome comum de certificado (CN) e não corresponde a nenhum nome alternativo de sujeito do certificado (SAN), a carga Balancero usa o certificado SSL padrão (primário) como candidato de certificado. Prossiga para a etapa 2.
        • O balanceador de carga seleciona um candidato de certificado que corresponde ao nome do host SNI enviado pelo cliente. A correspondência é feita pelo prefixo mais longo contra o nome comum (CN) e os atributos de certificado de nome alternativo (SAN), com uma preferência por certificados ECDSA sobre os certificados RSA. Para ilustrar o método de correspondência, considere um proxy alvo que referencia um certificado cujo CN é CATS.Animais de estimação.exemplo.com e outro certificado cujo CN é cães.Animais de estimação.exemplo.com . Além de incluir cada valor de CN em seus Sans, cada certificado inclui *.Animais de estimação.exemplo.com, e *.exemplo.com em seus sans.
          • Se o nome do host SNI fornecido for gatos.Animais de estimação.exemplo.com, o balanceador de carga usa o certificado cujo CN é gatos.Animais de estimação.exemplo.com como o candidato de certificado. Prossiga para a etapa 2.
          • Se o nome do host SNI fornecido for furões.Animais de estimação.exemplo.com, o balanceador de carga usa um dos dois Certificados como candidato ao certificado porque ambos os certificados configurados têm SANs que incluem *.Animais de estimação.exemplo.com . Você não pode controlar Qual dos dois Certificados se tornam o candidato de certificado nesta situação. Prossiga para a etapa 2.
    2. O candidato de certificado é enviado ao cliente se o candidato do certificado usar um algoritmo de chave pública compatível com uma das cifras declaradas do cliente.
      • A negociação do TLS pode falhar se o cliente não suportar uma suíte cifra que inclua o algoritmo de chave pública (ECDSA ou RSA) do certificado.
      • O balanceador de carga não usa os atributos NotvalidBe Forfore e NotValidafter do certificado como qualquer parte do método de seleção de candidatos. Por exemplo, o balanceador de carga pode servir um certificado expirado se o certificado expirado foi selecionado como candidato ao certificado.

    Preço

    Você incorre em cobranças de rede quando usa o Google Cloud Load Balancers. Para mais informações, consulte todos os preços de rede. Para preços do gerente de certificação, consulte Preços na documentação do gerenciador de certificados. Não há cobranças adicionais para o uso de recursos de certificado SSL de mecanismo de computação.

    Qual é o próximo

    • Para obter mais informações sobre os certificados SSL do Compute Engine, consulte as seguintes páginas:
      • Para obter mais informações sobre certificados SSL de mecanismo de computação auto-gerenciados, consulte Use certificados SSL auto-gerenciados.
      • Para obter mais informações sobre os certificados SSL de mecanismo de computação gerenciados pelo Google, use certificados SSL gerenciados pelo Google.
      • Para saber sobre cotas e limites (incluindo comprimentos de chaves suportados) para certificados SSL de computação de mecanismo, consulte Certificados SSL e pools de destino e proxies de destino na documentação do balanceador de carga.
      • Visão geral do gerente de certificação.
      • Para obter mais informações sobre certificados SSL auto-gerenciados e gerente de certificados, consulte Upload de um certificado auto-gerenciado na documentação do gerente de certificação ou implante um certificado auto-gerenciado para um tutorial de ponta a ponta.
      • Para obter mais informações sobre certificados SSL gerenciados pelo Google e gerente de certificados, consulte Gerenciar certificados na documentação do gerenciador de certificados.
      • Para saber sobre cotas e limites para gerente de certificação, consulte as cotas de recursos na documentação do gerenciador de certificados.

      Experimente por si mesmo

      Se você é novo no Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em cenários do mundo real. Novos clientes também recebem US $ 300 em créditos gratuitos para executar, testar e implantar cargas de trabalho.

      Enviar comentários

      Exceto quando observado de outra forma, o conteúdo desta página é licenciado sob a atribuição Creative Commons 4.0 licença e amostras de código são licenciadas sob o Apache 2.0 licença. Para detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou de suas afiliadas.

      Última atualização 2023-05-08 UTC.

      Use certificados SSL gerenciados pelo Google

      Esta página discute como criar e usar certificados SSL gerenciados pelo Google.

      Os certificados SSL gerenciados pelo Google são certificados de validação de domínio (DV) que o Google Cloud obtém e gerencia seus domínios. Eles suportam vários nomes de host em cada certificado e o Google renova os certificados automaticamente.

      Os certificados gerenciados pelo Google são suportados com os seguintes balanceadores de carga:

      • Balanceador de carga (s) de carga (s) externo (s) externo (s)
      • Balancer de carga HTTP (s) externo (clássico)
      • Balanceador de carga de proxy SSL externo

      Os certificados SSL gerenciados pelo Google não são suportados para balanceadores de carga (s) de carga (s) de carga (s) de carga (s) internos de HTTP (s) internos. Para esses balanceadores de carga, use certificados SSL auto-gerenciados.

      Você também pode usar certificados SSL gerenciados com o Google Kubernetes Engine. Para mais informações, consulte Usando certificados SSL gerenciados pelo Google.

      Você pode criar um certificado gerenciado pelo Google antes, durante ou depois de criar seu balanceador de carga. Esta página pressupõe que você está criando o certificado antes ou depois de criar o balanceador de carga, não durante. Para criar o certificado ao criar seu balanceador de carga, consulte as páginas de instruções do Balancero de Carga.

      Antes de você começar

      • Certifique -se de estar familiarizado com a visão geral dos certificados SSL.
      • Certifique-se de ter os nomes de domínio que deseja usar para o seu certificado SSL gerenciado pelo Google. Se você estiver usando domínios do Google, consulte a Etapa 1: registre um nome de domínio usando o Google Domains.
      • Verifique se você ativou a API do mecanismo de computação para o seu projeto. Ativar a API do mecanismo de computação

      Permissões

      Para seguir este guia, você deve poder criar e modificar certificados SSL em seu projeto. Você pode fazer isso se um dos seguintes for verdadeiro:

      • Você é um proprietário ou editor do projeto (funções/proprietário ou funções/editor).
      • Você tem a função de administrador de segurança de computação (computação.SecurityAdmin) e a função de administrador da rede de computação (computação.NetworkAdmin) no projeto.
      • Você tem uma função personalizada para o projeto que inclui a computação.sslCertificates.* permissões e um ou ambos de computação.TargethttpSproxies.* e calcular.TargetSslProxies.*, dependendo do tipo de balanceador de carga que você está usando.

      Passo 1. Crie um certificado SSL gerenciado pelo Google

      Você pode criar um certificado gerenciado pelo Google antes, durante ou depois de criar seu balanceador de carga. Durante o processo de criação de um balanceador de carga no Google Cloud Console, você pode usar o Google Cloud Console para criar seu certificado. Como alternativa, você pode criar seu certificado antes ou depois de criar seu balanceador de carga. Esta etapa mostra como criar um certificado que você pode adicionar posteriormente a um ou mais balanceadores de carga.

      Se você já criou seu certificado SSL gerenciado pelo Google, pode pular esta etapa.

      Console

      Você pode trabalhar com certificados SSL globais no Certificados clássicos guia no Gerente de certificado página.

      1. Vou ao Certificados clássicos guia no console do Google Cloud.
        Vá para certificados clássicos
      2. Clique Crie certificado SSL.
      3. Insira um nome e uma descrição opcional para o certificado.
      4. Selecione Crie certificado gerenciado pelo Google.
      5. Adicione os domínios.
      6. Clique Criar.

      GCLOUD

      Para criar um certificado SSL administrado pelo Google global para um balanceador de carga de carga (s) de carga (s) externo (s) de HTTP (s) ou balanceador de carga de proxy SSL externo, use o comando GCLOUD Compute SSL Certificates Create:

      Certificados SSL de computação gcloud criam NOME VÁLIDO \ -Description =DESCRIÇÃO \ -domains =Domain_list \ - -global

      Substitua o seguinte:

      • Certificado_name: um nome para o certificado SSL global
      • Descrição: Uma descrição para o certificado SSL global
      • Domain_list: um único nome de domínio ou uma lista delimitada por vírgula de nomes de domínio a serem usados ​​para este certificado

      Terraform

      Para criar o certificado SSL gerenciado pelo Google, use o recurso Google_Compute_Managed_SSL_Certificate.

      Recurso "Google_Compute_Managed_SSL_Certificate" "lb_default" < provider = google-beta name = "myservice-ssl-cert" managed < domains = [var.domain_name] >>

      API

      Crie o recurso de certificado gerenciado pelo Google SSLCertificates.Inserir método, substituindo o Project_id pelo seu ID do projeto.

      Postar https: // calcular.googleapis.com/compute/v1/Projects/[Project_id]/Global/SSLCertificates < "name": "ssl-certificate-name", "managed": < "domains": [ "www.example.com" ] >, "Tipo": "gerenciado">

      Verifique o status de um certificado SSL gerenciado pelo Google

      Console

      Você pode verificar o status dos seus certificados SSL globais no Certificados clássicos guia no Gerente de certificado página.

      1. Vou ao Certificados clássicos guia no console do Google Cloud.
        Vá para certificados clássicos
      2. (Opcional) Filtre a lista de certificados SSL.
      3. Verifica a Status coluna.
      4. Para ver mais detalhes, clique no nome do certificado.

      GCLOUD

      Para determinar o status do seu certificado gerenciado pelo Google, você pode usar comandos de computação gcloud. Depois de executar o comando apropriado, observe o seguinte:

      Para listar seus certificados SSL gerenciados pelo Google, use o comando GCLOUD Compute SSL Certificados .

      Lista de certificados SSL de computação gcloud \--global

      Você pode usar os certificados SSL de computação gcloud descrever o comando, substituindo certificado_name:

      GCLOUD COMPUTE SSL Certificados descrevem NOME VÁLIDO \ - -global \ - -format = "get (nome, gerenciado.status, gerenciado.domainstatus) "

      Neste ponto, o status do certificado e o status do domínio estão provisionando . Depois de concluir as etapas desta página, os status mudam para ativos .

      Para obter mais informações sobre os status, consulte a página Solução de problemas.

      Etapa 2: Crie ou atualize seu balanceador de carga

      Para se tornar ativo, o certificado SSL gerenciado pelo Google deve estar associado a um balanceador de carga, especificamente o proxy-alvo do balanceador de carga.

      Depois de criar seu certificado SSL e ele está no estado de provisionamento, você pode usá-lo durante a criação do seu balanceador de carga, conforme descrito nos seguintes guias de instruções:

      • Configure um balanceador de carga HTTP (s) externo (s) global com um back -end de mecanismo de computação
      • Configure um balanceador de carga HTTP (s) externo (clássico) com um back -end de mecanismo de computação
      • Configure um balanceador de carga de proxy SSL externo

      Ou você pode usá -lo para atualizar um balanceador de carga existente, conforme descrito aqui:

      Console

      Quando você atualiza um balanceador de carga HTTP (s) externo (s) externo (s) ou balanceador de carga de proxy SSL externo usando o console do Google Cloud, o Google Cloud associa automaticamente seu certificado SSL ao proxy de destino correto.

      1. Vou ao Balanceamento de carga Página no Google Cloud Console.
        Vá para o balanceamento de carga
      2. Clique no nome do seu balanceador de carga.
      3. Clique Editar editar .
      4. Clique Configuração do front -end.
      5. Clique na extremidade frontal correta (deve ser https, http/2, ssl).
      6. Clique Certificados adicionais, e selecione seu certificado gerenciado pelo Google na lista suspensa.
      7. Clique Criar.

      GCLOUD

      Para associar um certificado SSL ao proxy HTTPS de destino para um balanceador de carga externo (s) externo (s) externo (s), use o comando GCLOUD Compute Target-Https-Proxies Atualizar com os sinalizadores–globais-ssl e sinalizadores–globais:

      GCLOUD COMPUTE Target-HTTPS-PROXIES ATUALIZAÇÃO Target_proxy_name \--SSL Certificados Ssl_certificate_list \-Global-SSL Certificados \--global

      Para associar um certificado SSL ao proxy SSL de destino para um balanceador de carga de proxy SSL externo, use o comando GCLOUD Compute Target-SSL-Proxies Atualizar:

      GCLOUD COMPUTE TARGET-SSL-PROXIES ATUALIZAÇÃO Target_proxy_name \--SSL Certificados Ssl_certificate_list

      Substitua o seguinte:

      • Target_proxy_name: o nome do proxy de alvo do balanceador de carga
      • SSL_Certificate_List: Uma lista delimitada por vírgula de recursos de certificado SSL Verifique se a lista de certificados referenciados inclui todos os certificados SSL válidos mais antigos, bem como o novo certificado SSL. O comando GCLOUD COMPUTE TARGEN-SSL-PROXIES Atualizar substitui os valores originais para-SSL Certificados com o novo valor.

      Terraform

      Para criar o proxy https alvo, use o Google_compute_target_https_proxy Recurso.

      Para criar o proxy SSL de destino, use o recurso google_compute_target_ssl_proxy.

      Recurso "Google_compute_target_https_proxy" "lb_default"

      Cada proxy https de destino ou proxy SSL de destino deve fazer referência a pelo menos um certificado SSL. Um proxy de destino pode referenciar mais de um certificado SSL. Para detalhes, consulte Pools -alvo e proxies -alvo nas cotas e limites de recursos de balanceamento de carga.

      Importante: Para balanceadores de carga de proxy SSL externos com certificados SSL gerenciados pelo Google, a regra de encaminhamento do balanceador de carga deve usar a porta TCP 443 para que o certificado gerenciado pelo Google seja provisionado inicialmente e renovado automaticamente.

      Etapa 3: Verifique a associação de proxy alvo

      Depois de criar ou atualizar seu balanceador de carga, você pode garantir que o certificado SSL esteja associado ao proxy -alvo do seu balanceador de carga.

      Se você ainda não sabe o nome do proxy de destino, use a lista GCLOUD COMPUTE Target-HTTPS-PROXIES e GCLOUD COMPUTE Target-SSL-Proxies List Comandos para listar os proxies de destino em seu projeto.

      Verifique a associação entre o certificado SSL e o proxy de destino, executando o seguinte comando.

      Para balanceadores de carga externos externos globais:

      GCLOUD COMPUTE Target-https-proxies Target_https_proxy_name \ - -global \ - -format = "get (sslCertificates)"

      Para balanceadores de carga de proxy SSL externos:

      GCLOUD COMPUTE Target-SSL-Proxies Target_ssl_proxy_name \ - -format = "get (sslCertificates)"

      Neste ponto, seu status de certificado gerenciado pelo Google ainda pode estar provisionando . O Google Cloud está trabalhando com a autoridade de certificado para emitir o certificado. O provisionamento de um certificado gerenciado pelo Google pode levar até 60 minutos.

      Etapa 4: Atualize os registros DNS A e AAAA para apontar para o endereço IP do balanceador de carga

      Seus registros DNS podem ser gerenciados no site do seu registrador, host DNS ou ISP. Onde seus registros DNS são gerenciados, adicionar ou atualizar os registros DNS A (para IPv4) e DNS AAAA Records (para IPv6) para seus domínios e quaisquer subdomínios.

      Verifique se os registros apontam para o endereço IP associado à regra de encaminhamento ou regras de encaminhamento do balanceador de carga usando um registro A/AAAA.

      Se você tiver vários domínios em um certificado gerenciado pelo Google, adicione ou atualize registros DNS para todos os domínios e subdomínios. Todos eles devem apontar para o endereço IP do seu balanceador de carga.

      Os certificados gerenciados podem provisão com sucesso se o seguinte for verdadeiro:

      • Os registros DNS do seu domínio usam um registro CNAME que aponta para outro domínio.
      • O outro domínio contém um registro A ou AAAA que aponta para o endereço IP do seu balanceador de carga.

      Você pode verificar sua configuração executando o comando DIG. Por exemplo, suponha que seu domínio seja www.exemplo.com . Execute o seguinte comando DIG:

      Dig www.exemplo.com

      ; > Dig 9.10.6> www.exemplo.com ;; Opções globais: +CMD ;; Recebi resposta: ;; ->> cabeçalho
      

      Neste exemplo, 34.95.64.10 é o endereço IP do seu balanceador de carga.
      

      Os resolvedores de DNS na Internet estão fora do controle do Google Cloud. Eles cache seus conjuntos de registros de recursos de acordo com o tempo para viver (TTL), o que significa que um comando DIG ou nslookup pode retornar um valor em cache. Se você estiver usando DNS em nuvem, consulte a propagação de mudanças.
      

      DNS registrar tempo de propagação
      

      Os registros DNS A e AAAA recém -atualizados podem levar uma quantidade significativa de tempo para serem totalmente propagados. Às vezes, a propagação em toda a Internet leva até 72 horas em todo o mundo, embora normalmente leve algumas horas.
      

      Execute o seguinte comando:
      

      GCLOUD COMPUTE SSL Certificados descrevem NOME VÁLIDO \ - -format = "Get (gerenciado.domainstatus) "
       
       
      Se o seu status de domínio for falhado_not_visible, pode ser porque a propagação não está completa.
       
      Etapa 5: Teste com OpenSSL
       
       
      Depois que o certificado e os status do domínio estão ativos, pode levar até 30 minutos para o seu balanceador de carga começar a usar seu certificado SSL gerenciado pelo Google.
       
      Para testar, execute o seguinte comando OpenSSL, substituindo o domínio pelo nome do DNS e ip_address pelo endereço IP do seu balanceador de carga.
       
      eco | OpenSSL s_client -ShowCerts -ServerName DOMÍNIO -conectar ENDEREÇO ​​DE IP: 443 -verify 99 -verify_return_error
       
       
      Este comando gera os certificados que o balanceador de carga apresenta ao cliente. Juntamente com outras informações detalhadas, a saída deve incluir a cadeia de certificados e verificar o código de retorno: 0 (ok) .
       
      Procedimentos adicionais
       
       
      Esta seção contém procedimentos adicionais para gerenciar seus certificados.
       
      Suporte vários domínios com um certificado SSL gerenciado pelo Google
       
       
      Múltiplos nomes alternativos de assunto são suportados. Cada certificado SSL gerenciado pelo Google suporta até o número máximo de domínios por certificado SSL gerenciado pelo Google.
       
      Se você tiver mais do que o número máximo de domínios, deve solicitar vários certificados gerenciados pelo Google. Por exemplo, se você tentar criar um certificado gerenciado pelo Google com (os domínios máximo + 1), o Google não emite nenhum certificado. Em vez disso, você deve criar dois ou mais certificados gerenciados pelo Google e declarar explicitamente quais domínios estão associados a cada certificado.
       
      O Google Cloud implementa a indicação do nome do servidor (SNI), conforme definido no RFC 6066.
       
      Se algum dos domínios ou subdomínios em um certificado gerenciado não estiver apontando para o endereço IP do balanceador de carga, o processo de renovação falhará. Para evitar a falha de renovação, verifique se todos os seus domínios e subdomínios estão apontando para o endereço IP do balanceador de carga.
       
      Renovar um certificado SSL gerenciado pelo Google
       
       
      Google Cloud Disposition Certificados gerenciados válidos por 90 dias. Cerca de um mês antes do vencimento, o processo para renovar seu certificado começa automaticamente. Para isso, uma autoridade de certificação (CA) é escolhida que está no registro DNS da autoridade de certificação do seu domínio (CAA) e na lista de CAS.
       
      A CA usada para renovação pode ser diferente da CA usada para emitir uma versão anterior do seu certificado gerenciado pelo Google. Você pode controlar a CA que o Google Cloud usa para a renovação, garantindo que o registro CAA DNS do seu domínio especifique uma única CA da lista de CAS que os certificados gerenciados pelo Google usam.
       
      Se algum dos domínios ou subdomínios em um certificado gerenciado não estiver apontando para o endereço IP do balanceador de carga, o processo de renovação falhará. Para evitar a falha de renovação, verifique se todos os seus domínios e subdomínios estão apontando para o endereço IP do balanceador de carga.
       
      Especifique o CAS que pode emitir seu certificado gerenciado pelo Google
       
       
      No seu software DNS, recomendamos que você autorize explicitamente o CAS que deseja permitir emitir seu certificado gerenciado pelo Google. Embora não seja necessário em todos os cenários, isso é necessário em determinadas situações.
       
      Por exemplo, se você estiver usando um serviço DNS externo e seu certificado gerenciado pelo Google for revogado, o serviço poderá validar apenas um novo certificado emitido por um ou mais CAS específicos.
       
      Para fazer isso, crie ou modifique um registro CAA para incluir PKI.Goog ou LetSencrypt.org ou ambos. Se você não tem um registro da CAA, o comportamento padrão é permitir que ambos.GOOG e LetSencrypt.org .
       
      DOMÍNIO. CAA 0 edição "PKI.Goog " DOMÍNIO. CAA 0 edição "LetSencrypt.org "
       
       
      Apoio ao LetSencrypt.Certificados ORG são fornecidos com base no melhor esforço. Para melhor confiabilidade, permita que ambos.GOOG e LetSencrypt.org . Se você especificar apenas um dos CAS, apenas a CA é usada para criar e renovar seu certificado. Esta abordagem não é recomendada.
       
      Quando você cria seu certificado pela primeira vez, o Google Cloud seleciona PKI.Goog ou LetSencrypt.org e usa -o para emitir seu certificado. Quando o Google renova seu certificado, seu certificado pode ser emitido pela outra CA, dependendo do CAS que você especificou no registro da CAA (se você criou um). Seu certificado pode ser renovado por uma CA diferente em qualquer um dos seguintes casos:
       
         
      • Você não tem um recorde de DNS CAA para seu domínio.
        •  
      • Você incluiu os dois CAS no registro DNS CAA.
        •  
       
      Para mais informações, consulte o registro da RFC, CAA DNS.
       
      LetSencrypt.Org Questões nomes de domínio internacionalizados (IDNs). PKI.O Goog não suporta idns.
       
      Se você estiver usando o Cloud DNS, aprenda a adicionar um registro e certifique -se de definir a bandeira --type como CAA .
       
      Observação: Quando você adiciona uma CA no registro da CAA, pode levar uma quantidade significativa de tempo para o DNS propagar essa mudança e torná -lo visível para o CA. Como resultado, o processo de renovação do certificado pode falhar inicialmente, mas acaba sendo bem -sucedido. Para mais informações, consulte Solução de problemas de certificados SSL.
       
      Substitua um certificado SSL existente
       
       
      Para substituir um certificado SSL existente:
       
         
      1. Inicie o processo para criar o certificado SSL gerenciado pelo Google substituto. Este certificado não se torna ativo neste momento.
        2.  
      2. Atualize o proxy de destino para que a lista de certificados referenciados inclua o certificado SSL de substituição junto com os certificados SSL atuais. As etapas para atualizar o proxy de destino variam, da seguinte forma: 
           
        • Atualize um proxy https alvo
          •  
        • Atualize um proxy SSL de destino
          •  
         
        Observação: Para continuar servindo o tráfego, o proxy alvo deve continuar referenciando os certificados SSL atuais. Para que o certificado de substituição conclua seu processo de provisionamento, o proxy alvo deve fazer referência ao certificado de substituição também.
        3.  
         
      3. Aguarde o certificado SSL de substituição para concluir o provisionamento. O provisionamento pode levar até 60 minutos. Quando o provisionamento está concluído, o status do certificado se torna ativo . Observação: Provisionando um certificado gerenciado pelo Google pode levar 60 minutos A partir do momento em que seu DNS e as alterações de configuração do balanceador de carga se propagaram em toda a Internet. Se você atualizou sua configuração DNS recentemente, pode levar uma quantidade significativa de tempo para as alterações para Propagar totalmente. Às vezes, a propagação leva até 72 horas em todo o mundo, embora normalmente demore algumas horas. Para obter mais informações sobre a propagação do DNS, consulte a propagação de mudanças.
        4.  
      4. Aguarde mais 30 minutos para garantir que o certificado de substituição esteja disponível para todos os extremos do Google (GFES).
        5.  
      5. Atualize o proxy de destino para remover o certificado SSL que você está substituindo da lista de certificados referenciados. As etapas para atualizar um proxy de destino variam, como segue: 
           
        • Atualize um proxy https alvo
          •  
        • Atualize um proxy SSL de destino
          •  
         
        6.  
      6. Aguarde 10 minutos e confirme que o balanceador de carga está usando o certificado SSL de substituição em vez do antigo.
        7.  
      7. Atualize o proxy de destino novamente, removendo o antigo recurso de certificado SSL. Você pode excluir o recurso de certificado SSL se não for mais referenciado por nenhum proxy de destino.
        8.  
       
      Se você não excluir o certificado SSL antigo, ele permanecerá ativo até que expire.
       
      Migrar de certificados SSL auto-gerenciados para certificados SSL gerenciados pelo Google
       
       
      Quando você migra um balanceador de carga de usar certificados SSL auto-gerenciados para certificados SSL gerenciados pelo Google, você deve executar as etapas a seguir nesta sequência:
       
         
      1. Crie um novo certificado gerenciado pelo Google.
        2.  
      2. Associe o novo certificado gerenciado pelo Google ao proxy de destino correto, mantendo a associação de proxy alvo com o certificado auto-gerenciado existente.
        3.  
      3. Aguarde até que o status de certificado gerenciado pelo Google esteja ativo .
        4.  
      4. Aguarde 30 minutos para permitir que o novo certificado se propagasse para servir o Google Front Ends (GFES)
        5.  
      5. Atualize o proxy de destino novamente, removendo o recurso de certificado auto-gerenciado. Você pode excluir o recurso de certificado SSL auto-gerenciado se não for mais referenciado por nenhum proxy de destino.
        6.  
       
      Excluir um certificado SSL
       
       
      Antes de excluir um certificado SSL, verifique se não há referências de proxy de destino HTTPS ou SSL. Você pode fazer isso de duas maneiras:
       
         
      • Exclua os proxies de destino que fazem referência a este certificado.
        •  
      • Atualize os proxies de destino que fazem referência a este certificado para excluí -lo. As etapas variam, como segue: 
           
        • Atualize um proxy de destino HTTPS.
          •  
        • Atualize um proxy de destino SSL.
          •  
         
        Para excluir um ou mais certificados SSL:
         
        Console
         
         
        Você pode excluir certificados SSL globais no Certificados clássicos guia no Gerente de certificado página.
         
           
        1. Vou ao Certificados clássicos guia no console do Google Cloud. 
          Vá para certificados clássicos
          2.  
        2. Selecione o certificado SSL que você deseja excluir.
          3.  
        3. Clique em Excluir Excluir.
          4.  
        4. Para confirmar, clique em Excluir Excluir de novo.
          5.  
         
        GCLOUD
         
         
        Para excluir um certificado SSL global (para balanceadores de carga (s) de carga (s) de carga externa (s) externa (s), use o comando de exclusão de excluídos SSL GCLOUD com o comando--global:
         
        GCLOUD COMPUTE SSL Certificados Excluir NOME VÁLIDO \ - -global
         
         
        Substitua o seguinte:
         
           
        • Certificado_name: o nome do certificado SSL
          •  
         
        Qual é o próximo
         
         
           
        • Para solucionar os certificados SSL, consulte Certificados SSL solucionando problemas.
          •  
        • Para usar um script Terraform que cria um certificado gerenciado pelo Google, consulte o exemplo da nuvem de execução no Exemplos do módulo Terraform para HTTP (s) Balancer de carga externo (s) página.
          •  
         
        Enviar comentários
         
        Exceto quando observado de outra forma, o conteúdo desta página é licenciado sob a atribuição Creative Commons 4.0 licença e amostras de código são licenciadas sob o Apache 2.0 licença. Para detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou de suas afiliadas.
         
        Última atualização 2023-05-08 UTC.
         
        O Google emite certificados SSL
         
         
         Mulher fica no banquinho para pendurar um nome de domínio em uma barra de endereço do navegador enquanto o homem olha através de nomes de domínio alternativos
         
        Etapas simples para proteger seu site
         
        Qualquer domínio que você se registra no Google Domains vem com proteção de privacidade, DNSSEC com um clique e verificação em duas etapas do Google-tudo sem custo adicional. Se você&rsquo;está lançando um projeto paralelo ou expandindo seu negócio&rsquo;S presença online, aqui estão algumas etapas fáceis que você pode tomar para proteger melhor seu site.
         
        Obtenha um certificado SSL para criptografar seu site
         
        Proteja seu site e proteja seus usuários&rsquo; Informações com criptografia HTTPS instalando um certificado SSL. Um certificado SSL mantém informações confidenciais, como dados de cartão de crédito privados, criando dados enquanto viaja de e para o seu site. E a criptografia HTTPS garante que ninguém possa acessar ou monitorar comunicações para ou para o seu site.
         
         Imagem 1
         
        Proteja seu site da remoção de SSL
         
        Instalar um certificado SSL é uma obrigação, mas SSL sozinho não é&rsquo;T completamente à prova de hackers: você também deve usar o pré-carregamento HSTS. Sem HSTs, alguém pode tentar retirar seu site do certificado SSL para que eles possam carregar suas páginas sobre o HTTP (em vez de HTTPS). A melhor maneira de proteger seu site da remoção de SSL é usar um nome de domínio com base em HSTS ou adicionar seu site à lista de pré-carteiras de HSTS (uma lista de sites que os navegadores modernos carregam apenas uma conexão criptografada). Aqui estão duas maneiras de entrar na lista HSTS-PRELOAD:
         
         Imagem 2
         
        Registre um nome de domínio que&rsquo;S HSTS-PRELOADED (RECOMENDADO)
         
        A maneira mais rápida de entrar na lista HSTS-PRELOAD é usar um domínio que termina como .aplicativo, .Dev, ou .página isso&rsquo;já está na lista. Qualquer site com um domínio de nível superior (TLD) na lista é automaticamente protegido pelo HSTS-PRELO-LOADING.
         
         Imagem 3
         
        Adicione seu site à lista
         
        Os proprietários de sites podem adicionar seu site individualmente à lista HSTS-PRELOAD na HSTSPRELOAD.org. Mas lembre -se de que este é um processo lento, pois as atualizações da lista podem não ser reconhecidas por um navegador até que uma atualização ou nova versão. Pode levar meses para todos os navegadores modernos reconhecerem que seu site foi adicionado.