Google 관리 SSL 인증서를 사용하십시오

요약:

이 기사에서는 Google Cloud에서로드 밸런서에 대한 Google 관리 SSL 인증서 사용에 대해 설명합니다. SSL 인증서 개요, 구성 방법, 사용 가능한 인증서 유형 및 Google Cloud Load Balancers에서 사용하는 방법에 대해 설명합니다.

키 포인트:

1. TLS (Transport Layer Security)는 네트워크를 통해 정보를 암호화하는 데 사용됩니다.
2. Google Cloud 프록시로드 밸런서는 암호화에 대한 SSL 인증서가 필요합니다.
3. SSL 인증서를 구성하는 두 가지 방법이 있습니다 : 컴퓨팅 엔진 SSL 인증서 리소스 및 인증서 관리자.
4. 자체 관리 및 Google 관리 SSL 인증서를 사용할 수 있습니다.
5. 자체 관리 인증서는 도메인 유효성 검사 (DV), 조직 검증 (OV) 또는 확장 유효성 검사 (EV) 인증서 일 수 있습니다.
6. Google Cloud Load Balancers는 계층을 기반으로 다양한 유형의 SSL 인증서를 지원합니다.
7. 단일 대상 프록시에서 여러 SSL 인증서를 호스팅 할 수 있습니다.
8. 컴퓨팅 엔진 SSL 인증서 리소스는 대상 프록시 당 최대 한계입니다.
9. 첫 번째 컴퓨팅 엔진 SSL 인증서는 기본 인증서로 간주됩니다.
10. 인증서 관리자 인증서 맵을 사용하여 여러 인증서를 참조 할 수 있습니다.

질문과 답변:

Q1 : Google Cloud로드 밸런서에서 SSL 인증서의 목적은 무엇입니까??

A1 : SSL 인증서의 목적은로드 밸런서와로드 밸런서에 액세스하는 클라이언트 간의 암호화를 제공하는 것입니다.

Q2 :로드 밸런서에 대한 SSL 인증서를 구성하는 데 사용할 수있는 방법 수?

A2 : 이용 가능한 두 가지 방법이 있습니다 : 컴퓨팅 엔진 SSL 인증서 리소스 및 인증서 관리자.

Q3 : Google Cloud Load Balancers와 함께 사용할 수있는 SSL 인증서 유형?

A3 : 자체 관리 및 Google 관리 SSL 인증서를 모두 사용할 수 있습니다. 자체 관리 인증서는 DV, OV 또는 EV 인증서 일 수 있습니다.

Q4 : 자체 관리 컴퓨팅 엔진 SSL 인증서를 지원하는로드 밸런서 유형?

A4 : 글로벌 외부 HTTP (S)로드 밸런서, 글로벌 외부 HTTP (S)로드 밸런서 (클래식) 및 프리미엄 계층의 외부 SSL 프록시로드 밸런서 자체 관리 컴퓨팅 엔진 SSL 인증서.

Q5 : 단일 대상 프록시에서 여러 SSL 인증서를 호스팅 할 수 있습니까??

A5 : 예, 특히로드 밸런서가 여러 도메인 이름을 지원할 때 단일 대상 프록시에서 여러 SSL 인증서를 호스팅 할 수 있습니다.

Q6 : Compute Engine SSL 인증서 리소스를 사용할 때 대상 프록시 당 최대 SSL 인증서 수는 얼마입니까??

A6 : 대상 프록시 당 최대 SSL 인증서 수는 구성 불가능합니다. 자세한 내용은로드 밸런싱 할당량 및 제한 문서를 참조하십시오.

Q7 : Compute Engine SSL 인증서 리소스를 사용할 때 기본 인증서로 간주되는 SSL 인증서?

A7 : 대상 프록시에서 참조 된 첫 번째 컴퓨팅 엔진 SSL 인증서는로드 밸런서의 기본 인증서로 간주됩니다.

Q8 : 인증서 관리자를 사용하여 여러 SSL 인증서를 참조 할 수 있습니다?

A8 : 예, 인증서 관리자는 인증서 맵을 사용하여 여러 SSL 인증서를 참조 할 수 있습니다.

Q9 : 지역 대상 HTTPS 프록시를 사용하는로드 밸런서?

A9 : 지역 외부 HTTP (S)로드 밸런서 및 내부 HTTP (S)로드 밸런서 사용 지역 대상 HTTPS 프록시.

Q10 : 전송 계층 보안 (TLS)의 목적은 무엇입니까??

A10 : TLS (Transport Layer Security).

Google 관리 SSL 인증서를 사용하십시오

SSL 인증서를 삭제하기 전에 HTTPS 또는 SSL Target 프록시 참조 가이 인증서를 참조하십시오. 두 가지 방법 으로이 작업을 수행 할 수 있습니다

SSL 인증서 개요

TLS (Transport Layer Security)는 정보가 네트워크를 통해 전송되는 동안 정보를 암호화하는 데 사용되며 클라이언트와 서버 또는로드 밸런서간에 개인 정보를 제공합니다. 전달 규칙을 참조하는 Google Cloud 프록시로드 밸런서는 대상 HTTPS 프록시 또는 대상 SSL 프록시를 참조하십시오.

메모: 이 페이지는 Google 클라우드로드 밸런서에 연결되는 Google Cloud 프록시로드 밸런서와 (다운 스트림) 클라이언트 간의 이동 중 암호화와 관련하여 SSL 인증서에 대해 설명합니다. Google Cloud Load Balancer와 (업스트림) 백엔드 간의 환경 암호화에 대한 자세한 내용은 백엔드 암호화를 참조하십시오.

인증서 구성 방법

Google Cloud는 HTTP 및 SSL 프록시로드 밸런서에 대한 SSL 인증서를 구성하는 두 가지 방법을 제공합니다. 두 방법 모두 자체 관리 및 Google 관리 SSL 인증서를 지원합니다.

• 컴퓨팅 엔진 SSL 인증서 리소스:이 방법을 사용하여 글로벌 외부 HTTP (S)로드 밸런서, 글로벌 외부 HTTP (S)로드 밸런서 (클래식), 외부 SSL 프록시로드 밸런서, 지역 외부 HTTP (S)로드 밸런서 또는 내부 HTTP (S)로드 밸런서의 대상 프록시는 SSL 인증서를 참조하도록 구성됩니다. SSL 인증서 리소스에는 개인 키, 해당 인증서 및 (Optionally)가 포함되어 있습니다. 이 방법은로드 밸런서에서 지원하는 모든 네트워크 서비스 계층을 지원합니다.
• 인증서 관리자:이 방법으로 글로벌 외부 HTTP (S)로드 밸런서, 글로벌 외부 HTTP (S)로드 밸런서 (클래식) 또는 외부 SSL 프록시로드 밸런서의 대상 프록시는 참조로 구성됩니다 인증서 맵. 인증서 맵에는 하나 이상이 포함되어 있습니다 인증서 항목. 각 인증서 항목에는 단일 인증서 관리자 인증서 리소스를 참조하고 각 인증서 리소스에는 개인 키와 인증서가 포함됩니다. 인증서 관리자를 사용하면 대상 HTTPS 프록시 또는 대상 SSL 프록시가 수천 개의 SSL 인증서 항목이 포함 된 인증서 맵을 참조 할 수 있습니다. 이 방법은로드 밸런서가 프리미엄 네트워크 서비스 계층을 사용하는 경우에만 사용할 수 있습니다. 자세한 내용은 인증서 관리자 개요를 참조하십시오.

인증서 유형

자신의 인증서를 만들거나 Google을 관리 할 수 ​​있습니다

• 자체 관리 SSL 인증서 자신이 얻고, 제공하고, 갱신하는 인증서입니다. 자체 관리 인증서는 이러한 공개 키 인증서 유형 중 하나 일 수 있습니다
  • 도메인 검증 (DV)
  • 조직 검증 (OV)
  • 확장 유효성 검사 (EV) 인증서

  자체 관리 컴퓨팅 엔진 SSL 인증서에 대한 자세한 내용은 자체 관리 SSL 인증서 사용을 참조하십시오.

  자체 관리 SSL 인증서 및 인증서 관리자에 대한 자세한 내용은 인증서 관리자 문서에 자체 관리 인증서 업로드를 참조하거나 엔드 투 엔드 튜토리얼을 위해 자체 관리 인증서를 배포하십시오.

  인증서 및 Google 클라우드로드 밸런서

  다음 표는 자체 관리 컴퓨팅 엔진 SSL 인증서, Google 관리 컴퓨팅 엔진 SSL 인증서 또는 인증서 관리자 (자체 관리 및 Google 관리 인증서)를 지원하는 Google Cloud Load Balancer를 보여줍니다.

  • 글로벌 외부 HTTP (들)로드 밸런서 a
  • 프리미엄 계층의 글로벌 외부 HTTP (S)로드 밸런서 (클래식)
  • 프리미엄 계층의 외부 SSL 프록시로드 밸런서 b
  • 표준 계층의 글로벌 외부 HTTP (S)로드 밸런서 (클래식)
  • 표준 계층의 외부 SSL 프록시로드 밸런서 b
  • 지역 외부 HTTP (들) 하중 밸런서 c
  • 내부 HTTP (들)로드 밸런서 c

  A 글로벌 외부 HTTP (S)로드 밸런서 및 글로벌 외부 HTTP (S)로드 밸런서 (클래식) 글로벌 대상 HTTPS 프록시를 사용하십시오.

  b 표준 계층에서도 외부 SSL 프록시로드 밸런서는 글로벌 대상 SSL 프록시를 사용합니다.

  C 지역 외부 HTTP (S)로드 밸런서 및 내부 HTTP (S)로드 밸런서 사용 지역 대상 HTTPS 프록시.

  여러 SSL 인증서

  동일한 대상 HTTPS 프록시 또는 대상 SSL 프록시를 사용하여 여러 인증서를 호스팅 할 수 있습니다. 공통 대상 프록시를 참조하기 위해 단일 전달 규칙 (단일 IP 주소 및 포트)을 구성하거나 공통 대상 프록시를 참조하기 위해 여러 전달 규칙 (다른 IP 주소 및 포트)을 구성 할 수 있습니다.

  다중 컴퓨팅 엔진 SSL 인증서 리소스

  Compute Engine SSL 인증서 리소스를 사용하는 경우 각 대상 프록시 리소스는 구성 가능성이없는 것으로 참조 할 수 있습니다 대상 HTTPS 또는 대상 SSL 프록시 당 최대 SSL 인증서 수. 자세한 내용은로드 밸런싱 할당량 및 제한 문서의 대상 풀 및 대상 프록시를 참조하십시오.

  로드 밸런서의 대상 프록시에서 참조 된 첫 번째 컴퓨팅 엔진 SSL 인증서 리소스는로드 밸런서의 기본 (1 차) 인증서로 간주됩니다.

  인증서 관리자를 사용한 여러 SSL 인증서

  인증서 관리자를 사용할 때 각 대상 프록시 리소스 참조 단일 인증서 맵을 참조하십시오. 인증서 맵은 하나 이상의 인증서 항목을 참조하고 맵의 기본 (기본) 인증서 인 인증서 항목을 구성 할 수 있습니다. 맵, 항목 및 인증서 관리자 인증서 수는 구성 가능하며 프로젝트 당 할당량입니다. 자세한 내용은 인증서 관리자 문서의 리소스 할당량을 참조하십시오.

  인증서 관리자를 지원하는로드 밸런서를 사용하고 대상 프록시 당 몇 개 이상의 SSL 인증서를 호스팅 해야하는 경우 엔진 SSL 인증서 리소스를 컴퓨팅 대신 인증서 관리자를 사용하고 있는지 확인하십시오.

  인증서 선택 방법

  클라이언트가 HTTP 또는 SSL 프록시로드 밸런서에 연결 한 후 클라이언트와로드 밸런서는 TLS 세션을 협상합니다. TLS 세션 협상 중에 클라이언트는로드 밸런서를 지원하는 TLS 암호 목록 (ClientHello)을 보냅니다. 로드 밸런서는 공개 키 알고리즘이 클라이언트와 호환되는 인증서를 선택합니다. 클라이언트는이 협상의 일부로로드 밸런서에 서버 이름 표시 (SNI) 호스트 이름을 보낼 수 있습니다. SNI 호스트 이름 데이터는 때때로로드 밸런서를 선택하는 데 사용됩니다.

  Google Cloud 프록시로드 밸런서가 다음과 같이 클라이언트에게 보낼 인증서를 선택하는 데 사용하는 프로세스를 모델링 할 수 있습니다. 모델에서 대상 HTTPS 프록시 또는 대상 SSL 프록시에서 구성된 모든 SSL 인증서로 시작하십시오.

  1. 로드 밸런서는 단일 인증서 후보를 선택합니다
     • 로드 밸런서의 대상 프록시가 하나의 컴퓨팅 엔진 SSL 인증서 리소스 만 참조하거나로드 밸런서의 대상 프록시가 하나의 인증서 항목만으로 인증서 관리자 맵을 참조하는 경우로드 밸런서는 하나의 인증서 후보로 만 구성된 인증서를 사용합니다. SNI 호스트 이름의 값 (제공된 경우)은로드 밸런서에 전혀 영향을 미치지 않습니다. 2 단계로 진행하십시오.
     • 로드 밸런서의 대상 프록시가 둘 이상의 컴퓨팅 엔진 SSL 인증서 리소스를 참조하거나로드 밸런서의 대상 프록시가 두 개 이상의 인증서 항목으로 인증서 관리자 맵을 참조하는 경우로드 밸런서는 다음 프로세스를 사용하여 다음을 선택합니다 하나의 인증서 후보자 :
       • 클라이언트가 ClientHello에 SNI 호스트 이름을 보내지 않는 경우로드 밸런서는 기본 (기본) SSL 인증서를 인증서 후보로 사용합니다. 2 단계로 진행하십시오.
       • 클라이언트가 인증서 공통 이름 (CN)과 일치하지 않는 SNI 호스트 이름을 보내고 인증서 주제 대체 이름 (SAN)과 일치하지 않는 경우로드 밸런서는 기본 (기본) SSL 인증서를 인증서 후보로 사용합니다. 2 단계로 진행하십시오.
       • 로드 밸런서는 클라이언트가 보낸 SNI 호스트 이름과 일치하는 인증서 후보를 선택합니다. 일치하는 것은 RSA 인증서보다 ECDSA 인증서를 선호하는 공통 이름 (CN) 및 주제 대체 이름 (SAN) 인증서 속성에 대해 가장 긴 접두사로 수행됩니다. 일치하는 방법을 설명하려면 CN 인 인증서를 고양이 인 하나의 인증서를 참조하는 대상 프록시를 고려하십시오.애완 동물.예.cn과 CN이 개 인 다른 인증서.애완 동물.예.com . 각 CN 값을 SAN에 포함시키는 것 외에도 각 인증서에는 *가 포함됩니다.애완 동물.예.com 및 *.예.산에 com.
         • 제공된 SNI 호스트 이름이 고양이 인 경우.애완 동물.예.com,로드 밸런서는 CN이 CAT 인 인증서를 사용합니다.애완 동물.예.인증서 후보로 com. 2 단계로 진행하십시오.
         • 제공된 SNI 호스트 이름이 흰 족제비 인 경우.애완 동물.예.com,로드 밸런서가 사용합니다 둘 중 하나 구성된 인증서가 모두 포함 된 SAN이 있으므로 인증서 후보로 인증서에.애완 동물.예.com . 당신은 제어 할 수 없습니다 둘 중 어느 것입니다 이 상황에서 인증서는 인증서 후보가됩니다. 2 단계로 진행하십시오.
  2. 인증서 후보자가 클라이언트의 명시된 암호 중 하나와 호환되는 공개 키 알고리즘을 사용하는 경우 인증서 후보자가 고객에게 전송됩니다.
     • 클라이언트가 인증서의 공개 키 알고리즘 (ECDSA 또는 RSA)을 포함하는 암호 스위트를 지원하지 않으면 TLS 협상이 실패 할 수 있습니다.
     • 로드 밸런서는 후보 선택 방법의 일부로 인증서의 notvalidbebe 및 notvalidafter 속성을 사용하지 않습니다. 예를 들어,로드 밸런서는 만료 된 인증서가 인증서 후보로 선택된 경우 만료 된 인증서를 제공 할 수 있습니다.

  가격

  Google Cloud로드 밸런서를 사용할 때 네트워킹 요금이 발생합니다. 자세한 내용은 모든 네트워킹 가격 책정을 참조하십시오. 인증서 관리자 가격은 인증서 관리자 문서의 가격을 참조하십시오. Compute Engine SSL 인증서 리소스 사용에 대한 추가 요금이 없습니다.

  무엇 향후 계획

  • Compute Engine SSL 인증서에 대한 자세한 내용은 다음 페이지를 참조하십시오
    • 자체 관리 컴퓨팅 엔진 SSL 인증서에 대한 자세한 내용은 자체 관리 SSL 인증서 사용을 참조하십시오.
    • Google 관리 컴퓨팅 엔진 SSL 인증서에 대한 자세한 내용은 Google 관리 SSL 인증서 사용을 참조하십시오.
    • 컴퓨팅 엔진 SSL 인증서에 대한 할당량 및 제한 (지원 된 키 길이 포함)에 대해 알아 보려면로드 밸런서 문서의 SSL 인증서 및 대상 풀 및 대상 프록시를 참조하십시오.
    • 인증서 관리자 개요.
    • 자체 관리 SSL 인증서 및 인증서 관리자에 대한 자세한 내용은 인증서 관리자 문서에 자체 관리 인증서 업로드를 참조하거나 엔드 투 엔드 튜토리얼을 위해 자체 관리 인증서를 배포하십시오.
    • Google 관리 SSL 인증서 및 인증서 관리자에 대한 자세한 내용은 인증서 관리자 문서의 인증서 관리를 참조하십시오.
    • 인증서 관리자의 할당량 및 제한에 대해 알아 보려면 인증서 관리자 문서의 리소스 할당량을 참조하십시오.

    직접 시도하십시오

    Google Cloud를 처음 접하는 경우 실제 시나리오에서 제품의 성과를 평가하기위한 계정을 작성하십시오. 신규 고객은 또한 실행, 테스트 및 배포 할 무료 크레딧으로 $ 300를받습니다.

    피드백을 보내십시오

    달리 명시된대로,이 페이지의 내용은 Creative Commons Attribution 4에 따라 라이센스가 부여됩니다.0 라이센스 및 코드 샘플은 Apache 2에 따라 라이센스가 부여됩니다.0 라이센스. 자세한 내용은 Google 개발자 사이트 정책을 참조하십시오. Java는 Oracle 및/또는 그 계열사의 등록 상표입니다.

    마지막 업데이트 된 2023-05-08 UTC.

    Google 관리 SSL 인증서를 사용하십시오

    이 페이지는 Google 관리 SSL 인증서를 작성하고 사용하는 방법에 대해 설명합니다.

    Google 관리 SSL 인증서는 Google Cloud가 도메인을 얻고 관리하는 도메인 유효성 검사 (DV) 인증서입니다. 각 인증서에서 여러 호스트 이름을 지원하고 Google은 인증서를 자동으로 갱신합니다.

    Google 관리 인증서는 다음과 같은로드 밸런서로 지원됩니다

    • 글로벌 외부 HTTP (S)로드 밸런서
    • 글로벌 외부 HTTP (S)로드 밸런서 (클래식)
    • 외부 SSL 프록시로드 밸런서

    Google 관리 SSL 인증서는 지역 외부 HTTP (S)로드 밸런서 및 내부 HTTP (S)로드 밸런서에 지원되지 않습니다. 이로드 밸런서의 경우 자체 관리 SSL 인증서를 사용하십시오.

    Google Kubernetes 엔진과 함께 관리되는 SSL 인증서를 사용할 수도 있습니다. 자세한 내용은 Google 관리 SSL 인증서 사용을 참조하십시오.

    로드 밸런서를 작성하기 전, 도중 또는 후에 Google 관리 인증서를 만들 수 있습니다. 이 페이지는로드 밸런서를 작성하기 전 또는 후에 인증서를 작성한다고 가정합니다. 로드 밸런서를 작성하는 동안 인증서를 만들려면로드 밸런서 방법 페이지를 참조하십시오.

    시작하기 전에

    • SSL 인증서 개요에 익숙한 지 확인하십시오.
    • Google 관리 SSL 인증서에 사용하려는 도메인 이름이 있는지 확인하십시오. Google 도메인을 사용하는 경우 1 단계 : Google 도메인을 사용하여 도메인 이름 등록을 참조하십시오.
    • 프로젝트를 위해 Compute Engine API를 활성화했는지 확인하십시오. 컴퓨팅 엔진 API를 활성화하십시오

    권한

    이 안내서를 따르려면 프로젝트에서 SSL 인증서를 작성하고 수정할 수 있어야합니다. 다음 중 하나가 사실이라면이 작업을 수행 할 수 있습니다

    • 귀하는 프로젝트 소유자 또는 편집자 (역할/소유자 또는 역할/편집자)입니다.
    • Compute Security Admin 역할이 있습니다 (Compute.SecurityAdmin) 및 Compute Network Admin 역할 (Compute.프로젝트에서 NetworkAdmin).
    • 컴퓨팅을 포함하는 프로젝트에 대한 맞춤형 역할이 있습니다.sslcertificates.* 권한과 컴퓨팅의 하나 또는 둘 다.targethttpsproxies.* 계산.TargetSslProxies.*, 사용중인로드 밸런서의 유형에 따라.

    1 단계. Google 관리 SSL 인증서를 만듭니다

    로드 밸런서를 작성하기 전, 도중 또는 후에 Google 관리 인증서를 만들 수 있습니다. Google Cloud 콘솔에서로드 밸런서를 작성하는 과정에서 Google Cloud 콘솔을 사용하여 인증서를 만들 수 있습니다. 또는로드 밸런서 생성 전후에 인증서를 만들 수 있습니다. 이 단계는 나중에 하나 이상의로드 밸런서에 추가 할 수있는 인증서를 만드는 방법을 보여줍니다.

    Google 관리 SSL 인증서를 이미 만든 경우이 단계를 건너 뛸 수 있습니다.

    콘솔

    Global SSL 인증서와 함께 작업 할 수 있습니다 클래식 인증서 탭 인증서 관리자 페이지.

    1. 가십시오 클래식 인증서 Google 클라우드 콘솔의 탭.
       클래식 인증서로 이동하십시오
    2. 딸깍 하는 소리 SSL 인증서를 만듭니다.
    3. 인증서에 대한 이름과 선택적 설명을 입력하십시오.
    4. 선택하다 Google 관리 인증서를 만듭니다.
    5. 도메인을 추가하십시오.
    6. 딸깍 하는 소리 만들다.

    Gcloud

    글로벌 외부 HTTP (S)로드 밸런서 또는 외부 SSL 프록시로드 밸런서에 대한 글로벌 Google 관리 SSL 인증서를 작성하려면 GCLOUD Compute SSL 인증서 작성 명령을 사용하십시오

    GCLOUD COMPUTE SSL 인증서 작성 인증서 _name \ -description =설명 \ -도메인 =도메인_list \ -글로벌

    다음을 교체하십시오

    • Certificate_name : 글로벌 SSL 인증서 이름
    • 설명 : 글로벌 SSL 인증서에 대한 설명
    • domain_list :이 인증서에 사용할 단일 도메인 이름 또는 쉼표로 사용할 도메인 이름 목록

    Terraform

    Google 관리 SSL 인증서를 만들려면 Google_compute_managed_ssl_certificate resource를 사용하십시오.

    리소스 "google_compute_managed_ssl_certificate" "lb_default" < provider = google-beta name = "myservice-ssl-cert" managed < domains = [var.domain_name] >>

    API

    Google 관리 인증서 리소스 SSLCertificates를 만듭니다.Method를 삽입하고 Project_ID를 프로젝트 ID로 대체하십시오.

    post https : // compute.googleapis.com/compute/v1/projects/[project_id]/global/sslcertificates < "name": "ssl-certificate-name", "managed": < "domains": [ "www.example.com" ] >, "유형": "관리"> 

    Google 관리 SSL 인증서의 상태를 확인하십시오

    콘솔

    글로벌 SSL 인증서의 상태를 확인할 수 있습니다 클래식 인증서 탭 인증서 관리자 페이지.

    1. 가십시오 클래식 인증서 Google 클라우드 콘솔의 탭.
       클래식 인증서로 이동하십시오
    2. (선택 사항) SSL 인증서 목록을 필터링하십시오.
    3. 을 체크 해봐 상태 열.
    4. 자세한 내용을 보려면 인증서 이름을 클릭하십시오.

    Gcloud

    Google 관리 인증서의 상태를 결정하려면 GCLOUD Compute 명령을 사용할 수 있습니다. 적절한 명령을 실행 한 후 다음에 주목하십시오

    Google 관리 SSL 인증서를 나열하려면-글로벌 플래그와 함께 GCLOUD COMPUTE SSL-CORTIFICATES 목록 명령을 사용하십시오 .

    Gcloud Compute SSL-Certificates List \-Global

    gcloud compute ssl-certificates descrip command, certificate_name을 대체 할 수 있습니다

    GCLOUD COMPUTE SSL 인증서 설명 인증서 _name \ -global \ -format = "get (이름, 관리.상태, 관리.Domainstatus) "

    이 시점에서 인증서 상태와 도메인 상태는 프로비저닝입니다 . 이 페이지의 단계를 완료하면 상태가 활성으로 변경됩니다 .

    상태에 대한 자세한 내용은 문제 해결 페이지를 참조하십시오.

    2 단계 :로드 밸런서를 만들거나 업데이트하십시오

    활성화 되려면 Google 관리 SSL 인증서는로드 밸런서, 특히로드 밸런서의 대상 프록시와 연관되어야합니다.

    SSL 인증서를 생성 한 후 프로비저닝 상태에 있으면 다음 방법 안내서에 설명 된대로로드 밸런서를 작성하는 동안 사용할 수 있습니다

    • 컴퓨팅 엔진 백엔드로 전역 외부 HTTP (S)로드 밸런서 설정
    • 컴퓨팅 엔진 백엔드와 함께 글로벌 외부 HTTP (S)로드 밸런서 (클래식) 설정
    • 외부 SSL 프록시로드 밸런서를 설정하십시오

    또는 여기에 설명 된대로 기존로드 밸런서를 업데이트하는 데 사용할 수 있습니다

    콘솔

    Google Cloud Console을 사용하여 글로벌 외부 HTTP (S)로드 밸런서 또는 외부 SSL 프록시로드 밸런서를 업데이트하면 Google Cloud는 SSL 인증서를 올바른 대상 프록시와 자동으로 연결시킵니다.

    1. 가십시오 로드 밸런싱 Google Cloud 콘솔의 페이지.
       로드 밸런싱으로 이동하십시오
    2. 로드 밸런서의 이름을 클릭하십시오.
    3. 딸깍 하는 소리 편집하다 편집하다 .
    4. 딸깍 하는 소리 프론트 엔드 구성.
    5. 올바른 프론트 엔드 (HTTPS, HTTP/2, SSL이어야 함)를 클릭하십시오.
    6. 딸깍 하는 소리 추가 인증서, 드롭 다운 목록에서 Google 관리 인증서를 선택하십시오.
    7. 딸깍 하는 소리 만들다.

    Gcloud

    글로벌 외부 HTTP (S)로드 밸런서에 대한 대상 HTTPS 프록시와 SSL 인증서를 연결하려면 gcloud Compute Target-HTTPS-Proxies 업데이트 명령을-글로벌 -SSSL 인증서 및-글로벌 플래그를 사용하십시오

    Gcloud Compute Target-HTTPS-Proxies 업데이트 대상 _proxy_name \ -ssl-certificates ssl_certificate_list \-Global-ssl-certificates \-Global

    외부 SSL 프록시로드 밸런서의 대상 SSL 프록시와 SSL 인증서를 연관하려면 GCLOUD Compute Target-SSL-Proxies 업데이트 명령을 사용하십시오

    Gcloud Compute Target-SSL-Proxies 업데이트 대상 _proxy_name \ -ssl-certificates ssl_certificate_list 

    다음을 교체하십시오

    • target_proxy_name :로드 밸런서의 대상 프록시의 이름
    • SSL_CERTIFICATE_LIST : COMMA 기준 SSL 인증서 리소스 목록에 참조 된 인증서 목록에 모든 이전 유효한 SSL 인증서와 새로운 SSL 인증서가 포함되어 있는지 확인하십시오. gcloud compute target-ssl-proxies update 명령은 새 값으로 -ssl-certificates의 원래 값을 대체합니다.

    Terraform

    대상 HTTPS 프록시를 만들려면 Google_ComPute_TARGET_HTTPS_PROXY 리소스를 사용하십시오.

    대상 SSL 프록시를 만들려면 Google_ComPute_TARGET_SSL_PROXY 리소스를 사용하십시오.

    리소스 "Google_compute_target_https_proxy" "lb_default"

    각 대상 HTTPS 프록시 또는 대상 SSL 프록시는 하나 이상의 SSL 인증서를 참조해야합니다. 대상 프록시는 하나 이상의 SSL 인증서를 참조 할 수 있습니다. 자세한 내용은로드 밸런싱 리소스 할당량 및 한계의 대상 풀 및 대상 프록시를 참조하십시오.

    중요한: Google 관리 SSL 인증서가 장착 된 외부 SSL 프록시로드 밸런서의 경우로드 밸런서의 전달 규칙은 Google 관리 인증서를 처음 프로비저닝 및 자동으로 갱신하려면 TCP 포트 443을 사용해야합니다.

    3 단계 : 대상 프록시 연관성을 확인하십시오

    로드 밸런서를 만들거나 업데이트 한 후에는 SSL 인증서가로드 밸런서의 대상 프록시와 연관되어 있는지 확인할 수 있습니다.

    대상 프록시의 이름을 아직 모르는 경우 GCLOUD Compute Target-HTTPS-Proxies 목록 및 GCLOUD Compute Target-SSL-Proxies 목록 명령을 사용하여 프로젝트의 대상 프록시를 나열하십시오.

    다음 명령을 실행하여 SSL 인증서와 대상 프록시의 연관성을 확인하십시오.

    글로벌 외부 HTTP (들)로드 밸런서 :

    Gcloud Compute Target-HTTPS-Proxies 설명 target_https_proxy_name \ -global \ -format = "get (sslcertificates)"

    외부 SSL 프록시로드 밸런서의 경우 :

    Gcloud Compute Target-SSL-Proxies를 설명합니다 대상 _ssl_proxy_name \ -format = "get (sslcertificates)"

    이 시점에서 Google 관리 인증서 상태는 여전히 프로비저닝 일 수 있습니다 . Google Cloud는 인증서를 발급하기 위해 인증서 기관과 협력하고 있습니다. Google 관리 인증서 프로비저닝은 최대 60 분이 소요될 수 있습니다.

    4 단계 :로드 밸런서의 IP 주소를 가리 키도록 DNS A 및 AAA 레코드를 업데이트합니다

    DNS 레코드는 레지스트라 사이트, DNS 호스트 또는 ISP에서 관리 될 수 있습니다. DNS 레코드가 관리되는 경우 도메인 및 하위 도메인에 대한 DNS 레코드 (IPv4 용) 및 DNS AAAA 레코드 (IPv6)를 추가 또는 업데이트하십시오.

    레코드가 A/AAAA 레코드를 사용하여로드 밸런서의 전달 규칙 또는 규칙과 관련된 IP 주소를 가리 키십시오.

    Google 관리 인증서에 여러 도메인이있는 경우 모든 도메인 및 하위 도메인에 대한 DNS 레코드를 추가 또는 업데이트하십시오. 그들은 모두로드 밸런서의 IP 주소를 가리켜 야합니다.

    다음이 참이면 관리 인증서는 성공적으로 제공 할 수 있습니다

    • 도메인의 DNS 레코드는 다른 도메인을 가리키는 CNAME 레코드를 사용합니다.
    • 다른 도메인에는로드 밸런서의 IP 주소를 가리키는 A 또는 AAAA 레코드가 포함되어 있습니다.

    DIG 명령을 실행하여 설정을 확인할 수 있습니다. 예를 들어, 도메인이 www라고 가정합니다.예.com . 다음 발굴 명령을 실행하십시오

    www.예.com

    ; > DIG 9.10.6> www.예.com ;; 글로벌 옵션 : +CMD ;; 답변을 얻었습니다 : ;; ->> 헤더
    
    이 예에서, 34.95.64.10은로드 밸런서의 IP 주소입니다.
    인터넷의 DNS Resolvers는 Google Cloud의 제어를 벗어납니다. 그들은 라이브 시간 (TTL)에 따라 리소스 레코드 세트를 캐시합니다. 이는 DIG 또는 NSLookup 명령이 캐시 된 값을 반환 할 수 있음을 의미합니다. Cloud DNS를 사용하는 경우 변경 전파를 참조하십시오.
    DNS는 전파 시간을 기록합니다
    
    새로 업데이트 된 DNS A 및 AAAA 레코드는 완전히 전파되는 데 상당한 시간이 걸릴 수 있습니다. 때로는 인터넷을 통한 전파가 전 세계적으로 최대 72 시간이 걸리지 만 일반적으로 몇 시간이 걸립니다.
    다음 명령을 다시 실행하십시오
    GCLOUD COMPUTE SSL 인증서 설명 인증서 _name \ -format = "get (관리.Domainstatus) "
     
     
    도메인 상태가 실패한 경우 _not_visible이면 전파가 완료되지 않았기 때문일 수 있습니다.
     
    5 단계 : OpenSSL로 테스트합니다
     
     
    인증서 및 도메인 상태가 활성화되면로드 밸런서가 Google 관리 SSL 인증서 사용을 시작하는 데 최대 30 분이 걸릴 수 있습니다.
     
    테스트하려면 다음 OpenSSL 명령을 실행하여 도메인을 DNS 이름으로, IP_ADDRESS를로드 밸런서의 IP 주소로 바꾸십시오.
     
    에코 | OpenSSL S_CLIENT -SHOWCERTS -SERVERNAME 도메인 -연결하다 IP 주소: 443 -99 -verify_return_error
     
     
    이 명령은로드 밸런서가 클라이언트에게 제공하는 인증서를 출력합니다. 다른 자세한 정보와 함께 출력에는 인증 체인이 포함되어 있어야하며 반환 코드 확인 : 0 (OK) .
     
    추가 절차
     
     
    이 섹션에는 인증서 관리를위한 추가 절차가 포함되어 있습니다.
     
    Google 관리 SSL 인증서로 여러 도메인을 지원하십시오
     
     
    여러 주제 대체 이름이 지원됩니다. 각 Google 관리 SSL 인증서는 Google 관리 SSL 인증서 당 최대 최대 도메인 수를 지원합니다.
     
    최대 도메인 수 이상의 경우 여러 Google 관리 인증서를 요청해야합니다. 예를 들어 (최대 + 1) 도메인으로 Google 관리 인증서를 작성하려고하면 Google은 인증서를 발행하지 않습니다. 대신, 두 개 이상의 Google 관리 인증서를 작성하고 각 인증서와 관련된 도메인이 명시 적으로 상태를 작성해야합니다.
     
    RFC 6066에 정의 된대로 Google Cloud는 서버 이름 표시 (SNI)를 구현합니다.
     
    관리 인증서의 도메인 또는 하위 도메인이로드 밸런서의 IP 주소를 가리키지 않으면 갱신 프로세스가 실패합니다. 갱신 실패를 피하려면 모든 도메인과 하위 도메인이로드 밸런서의 IP 주소를 가리키고 있는지 확인하십시오.
     
    Google 관리 SSL 인증서를 갱신하십시오
     
     
    Google Cloud Provisions 90 일 동안 유효한 관리 인증서. 만료 전에 약 1 개월 전, 인증서 갱신 프로세스가 자동으로 시작됩니다. 이를 위해 CAA (Certification Authority)가 도메인의 인증 당국 인증 (CAA) DNS 레코드와 CAS 목록에있는 인증 기관 (CA)이 선택됩니다.
     
    갱신에 사용되는 CA는 이전 버전의 Google 관리 인증서를 발행하는 데 사용되는 CA와 다를 수 있습니다. 도메인의 CAA DNS 레코드가 Google 관리 인증서가 사용하는 CAS 목록에서 단일 CA를 지정하도록하여 Google Cloud가 갱신에 사용하는 CA를 제어 할 수 있습니다.
     
    관리 인증서의 도메인 또는 하위 도메인이로드 밸런서의 IP 주소를 가리키지 않으면 갱신 프로세스가 실패합니다. 갱신 실패를 피하려면 모든 도메인과 하위 도메인이로드 밸런서의 IP 주소를 가리키고 있는지 확인하십시오.
     
    Google 관리 인증서를 발행 할 수있는 CAS를 지정하십시오
     
     
    DNS 소프트웨어에서 Google 관리 인증서를 발급 할 수있는 CAS를 명시 적으로 승인하는 것이 좋습니다. 모든 시나리오에서 필요하지는 않지만 특정 상황에서 필요합니다.
     
    예를 들어, 외부 DNS 서비스를 사용하고 Google 관리 인증서가 취소 된 경우 서비스는 하나 이상의 특정 CAS에서 발행 한 새 인증서 만 유효성을 유지할 수 있습니다.
     
    이렇게하려면 PKI를 포함하도록 CAA 레코드를 작성하거나 수정하십시오.Goog 또는 LetSencrypt.조직 또는 둘 다. CAA 레코드가없는 경우 기본 동작은 두 PKI를 모두 허용하는 것입니다.Goog 및 LetSencrypt.org .
     
    도메인. CAA 0 문제 "PKI.구고 " 도메인. CAA 0 문제 "letsencrypt.org "
     
     
    LetSencrypt 지원.ORG 인증서는 최상의 효과로 제공됩니다. 최상의 안정성을 위해 PKI를 모두 허용하십시오.Goog 및 LetSencrypt.org . CA 중 하나만 지정하는 경우 CA 만 인증서를 작성하고 갱신하는 데 사용됩니다. 이 접근법은 권장되지 않습니다.
     
    처음 인증서를 만들 때 Google Cloud가 PKI 중 하나를 선택합니다.Goog 또는 LetSencrypt.조직을 사용하여 인증서를 발급합니다. Google이 인증서를 갱신하면 CAA 레코드에 지정된 CAS에 따라 다른 CA에서 인증서를 발행 할 수 있습니다 (생성 한 경우). 다음과 같은 경우에 다른 CA에서 인증서를 갱신 할 수 있습니다
     
     
    도메인에 대한 DNS CAA 레코드가 없습니다.
     
    DNS CAA 레코드에 CAS를 모두 포함 시켰습니다.
     
     
    자세한 내용은 RFC, CAA DNS 레코드를 참조하십시오.
     
    letsencrypt.조직 문제 국제화 된 도메인 이름 (IDNS). PKI.GOOG는 현재 IDNS를 지원하지 않습니다.
     
    Cloud DNS를 사용하는 경우 레코드를 추가하는 방법을 배우고 -type 플래그를 CAA로 설정하십시오 .
     
    메모: CAA 레코드에 CA를 추가하면 DNS가 그 변화를 전파하고 CA에 보이게하는 데 상당한 시간이 걸릴 수 있습니다. 결과적으로 인증서 갱신 프로세스는 처음에는 실패 할 수 있지만 결국 성공합니다. 자세한 내용은 SSL 인증서 문제 해결을 참조하십시오.
     
    기존 SSL 인증서를 교체하십시오
     
     
    기존 SSL 인증서를 교체하려면 :
     
     
    교체품 생성 프로세스 시작 Google 관리 SSL 인증서. 이 시점 에서이 인증서는 활성화되지 않습니다.
     
    참조 된 인증서 목록에 현재 SSL 인증서와 함께 교체 SSL 인증서가 포함되도록 대상 프록시 업데이트. 대상 프록시를 업데이트하는 단계는 다음과 같이 다릅니다 
     
    대상 HTTPS 프록시를 업데이트하십시오
     
    대상 SSL 프록시를 업데이트하십시오
     
     
    메모: 트래픽을 계속 제공하려면 대상 프록시는 현재 SSL 인증서를 계속 참조해야합니다. 교체 인증서가 프로비저닝 프로세스를 완료하려면 대상 프록시가 교체 인증서도 참조해야합니다.
     
     
    교체 SSL 인증서가 프로비저닝을 완료 할 때까지 기다리십시오. 프로비저닝은 최대 60 분이 소요될 수 있습니다. 프로비저닝이 완료되면 인증서 상태가 활성화됩니다 . 메모: Google 관리 인증서를 프로비저닝하는 데는이 소요될 수 있습니다 60 분 인터넷에서 DNS 및로드 밸런서 구성 변경이 전파되는 순간부터. 최근 DNS 구성을 업데이트 한 경우 변경에 상당한 시간이 걸릴 수 있습니다 완전히 전파됩니다. 때때로 전파는 전 세계적으로 최대 72 시간이 걸리지 만 일반적으로 몇 시간이 걸립니다. DNS 전파에 대한 자세한 내용은 변경 전파를 참조하십시오.
     
    모든 Google 프론트 엔드 (GFES)에서 교체 인증서를 사용할 수 있는지 확인하기 위해 30 분을 더 기다리십시오.
     
    대상 프록시를 업데이트하여 참조 된 인증서 목록에서 대체 할 SSL 인증서를 제거하십시오. 대상 프록시를 업데이트하는 단계는 다음과 같이 다릅니다 
     
    대상 HTTPS 프록시를 업데이트하십시오
     
    대상 SSL 프록시를 업데이트하십시오
     
     
     
    10 분 동안 기다렸다가로드 밸런서가 구형 대신 교체 SSL 인증서를 사용하고 있는지 확인하십시오.
     
    대상 프록시를 다시 업데이트하여 이전 SSL 인증서 리소스 제거. 대상 프록시에서 더 이상 참조되지 않으면 SSL 인증서 리소스를 삭제할 수 있습니다.
     
     
    이전 SSL 인증서를 삭제하지 않으면 만료 될 때까지 활성 상태로 유지됩니다.
     
    자체 관리 SSL 인증서에서 Google 관리 SSL 인증서로 마이그레이션합니다
     
     
    자체 관리 SSL 인증서를 Google 관리 SSL 인증서로 사용하여로드 밸런서를 마이그레이션하면 다음 단계를 수행해야합니다
     
     
    새로운 Google 관리 인증서를 작성하십시오.
     
    기존 자체 관리 인증서와 대상 프록시와의 연관성을 유지하면서 새로운 Google 관리 인증서를 올바른 대상 프록시와 연결.
     
    Google 관리 인증서 상태가 활성화 될 때까지 기다리십시오 .
     
    새 인증서가 Google 프론트 엔드 (GFES)로 전파 할 수 있도록 30 분 기다립니다
     
    대상 프록시를 다시 업데이트하여 자체 관리 인증서 리소스 제거. 대상 프록시에서 더 이상 참조되지 않으면 자체 관리 SSL 인증서 리소스를 삭제할 수 있습니다.
     
     
    SSL 인증서를 삭제하십시오
     
     
    SSL 인증서를 삭제하기 전에 HTTPS 또는 SSL Target 프록시 참조 가이 인증서를 참조하십시오. 두 가지 방법 으로이 작업을 수행 할 수 있습니다
     
     
    이 인증서를 참조하는 대상 프록시를 삭제하십시오.
     
    이 인증서를 참조하는 대상 프록시를 업데이트하여 제외. 단계는 다음과 같이 다릅니다 
     
    HTTPS 대상 프록시를 업데이트하십시오.
     
    SSL 대상 프록시를 업데이트하십시오.
     
     
    하나 이상의 SSL 인증서를 삭제하려면 :
     
    콘솔
     
     
    에서 글로벌 SSL 인증서를 삭제할 수 있습니다 클래식 인증서 탭 인증서 관리자 페이지.
     
     
    가십시오 클래식 인증서 Google 클라우드 콘솔의 탭. 
    클래식 인증서로 이동하십시오
     
    삭제할 SSL 인증서를 선택하십시오.
     
    삭제를 클릭하십시오 삭제.
     
    확인하려면 삭제를 클릭합니다 삭제 다시.
     
     
    Gcloud
     
     
    글로벌 SSL 인증서 (글로벌 외부 HTTP (S)로드 밸런서 또는 외부 SSL 프록시로드 밸런서의 경우)를 삭제하려면 gcloud compute ssl-certificates delete 명령을-글로벌 명령을 사용하십시오
     
    GCLOUD COMPUTE SSL 인증서 삭제 인증서 _name \ -글로벌
     
     
    다음을 교체하십시오
     
     
    인증서 _name : SSL 인증서의 이름
     
     
    무엇 향후 계획
     
     
     
    SSL 인증서 문제를 해결하려면 SSL 인증서 문제 해결을 참조하십시오.
     
    Google 관리 인증서를 만드는 Terraform 스크립트를 사용하려면 클라우드 실행 예제를 참조하십시오 외부 HTTP (S)로드 밸런서에 대한 Terraform 모듈 예제 페이지.
     
     
    피드백을 보내십시오
     
    달리 명시된대로,이 페이지의 내용은 Creative Commons Attribution 4에 따라 라이센스가 부여됩니다.0 라이센스 및 코드 샘플은 Apache 2에 따라 라이센스가 부여됩니다.0 라이센스. 자세한 내용은 Google 개발자 사이트 정책을 참조하십시오. Java는 Oracle 및/또는 그 계열사의 등록 상표입니다.
     
    마지막 업데이트 된 2023-05-08 UTC.
     
    Google이 SSL 인증서를 발행합니다
     
     
     
     
    웹 사이트를 보호하기위한 간단한 단계
     
    Google 도메인에 등록하는 모든 도메인은 개인 정보 보호, One-Click DNSSEC 및 Google 2 단계 확인과 함께 제공됩니다. 당신이’사이드 프로젝트를 시작하거나 비즈니스 확장’온라인 존재, 웹 사이트를 더 잘 보호하기 위해 취할 수있는 몇 가지 쉬운 단계가 있습니다.
     
    웹 사이트를 암호화하려면 SSL 인증서를 받으십시오
     
    웹 사이트를 확보하고 사용자를 보호하십시오’ SSL 인증서를 설치하여 HTTPS 암호화를 통한 정보. SSL 인증서는 웹 사이트를 오가는 데 따라 데이터를 스크램블링하여 신용 카드 데이터와 같은 민감한 정보를 보관합니다. HTTPS 암호화는 아무도 귀하의 웹 사이트 또는 웹 사이트에서 통신에 액세스하거나 모니터링 할 수 없도록합니다.
     
     
     
    SSL 스트리핑으로부터 웹 사이트를 보호하십시오
     
    SSL 인증서 설치는 필수이지만 SSL만으로는’T 완전히 해킹 방지 : HSTS-Preloading도 사용해야합니다. HST가 없으면 누군가 SSL 인증서의 웹 사이트를 제거하여 HTTP 대신 HTTP를 통해 페이지를로드 할 수 있습니다. SSL 스트리핑으로부터 웹 사이트를 보호하는 가장 좋은 방법은 HSTS- 프로레인로드 도메인 이름을 사용하거나 웹 사이트를 HSTS-Preload List에 추가하는 것입니다 (최신 브라우저가 암호화 된 연결을 통해서만로드하는 웹 사이트 목록). HSTS-Preload 목록에 들어가는 두 가지 방법은 다음과 같습니다
     
     
     
    도메인 이름을 등록하십시오’s hsts-preloaded (권장)
     
    HSTS-Preload List에 들어가는 가장 빠른 방법은 다음과 같이 끝나는 도메인을 사용하는 것입니다 .앱, .Dev, Or .페이지’이미 목록에 있습니다. 목록에 최상위 도메인 (TLD)이있는 모든 웹 사이트는 HSTS-Preloading에 의해 자동으로 보호됩니다.
     
     
     
    웹 사이트를 목록에 추가하십시오
     
    웹 사이트 소유자는 HSTSpreload의 HSTS-Preload 목록에 웹 사이트를 개별적으로 추가 할 수 있습니다.org. 그러나 업데이트 또는 새 릴리스가 될 때까지 브라우저에서 목록에 대한 업데이트가 인식되지 않을 수 있으므로 이것은 느린 프로세스입니다. 모든 현대식 브라우저가 귀하의 웹 사이트가 추가되었음을 인식하는 데 몇 달이 걸릴 수 있습니다.