Użyj certyfikatów SSL zarządzanych przez Google

Streszczenie:

W tym artykule omówimy użycie certyfikatów SSL zarządzanych przez Google dla równoważenia ładunków w Google Cloud. Omówimy przegląd certyfikatów SSL, metody ich konfiguracji, rodzajów dostępnych certyfikatów i sposobu ich użycia z wyważającymi wyważonymi wyrobami ładunkowymi Google Cloud.

Kluczowe punkty:

  1. Bezpieczeństwo warstwy transportowej (TLS) służy do szyfrowania informacji przez sieć.
  2. Google Cloud Proxy Ralancers wymagają certyfikatów SSL do szyfrowania.
  3. Istnieją dwie metody konfigurowania certyfikatów SSL: Oblicz zasobów certyfikacji silnika SSL i menedżer certyfikatów.
  4. Dostępne są samodzielne i zarządzane przez Google certyfikaty SSL.
  5. Zarządzane certyfikatami mogą być walidacja domeny (DV), sprawdzanie poprawności organizacji (OV) lub rozszerzone certyfikaty sprawdzania poprawności (EV).
  6. Google Cloud Load Balancers obsługuje różne typy certyfikatów SSL na podstawie poziomu.
  7. Wiele certyfikatów SSL można hostować na jednym docelowym proxy.
  8. Compute Engine SSL Certificate Zasoby mają maksymalny limit na proxy docelowy.
  9. Pierwszy certyfikat SSL silnika obliczeniowego jest uważany za domyślny certyfikat.
  10. Menedżer certyfikatów umożliwia odwołanie się do wielu certyfikatów za pomocą mapy certyfikatu.

Pytania i odpowiedzi:

P1: Jaki jest cel certyfikatów SSL w Google Cloud Load Balancers?

A1: Celem certyfikatów SSL jest zapewnienie szyfrowania między balansem obciążeniowym a klientami uzyskującym dostęp do równoważenia obciążenia.

Q2: Ile metod jest dostępnych do skonfigurowania certyfikatów SSL dla równoważenia obciążenia?

A2: Dostępne są dwie metody: Compute Engine SSL Resource i Menedżer certyfikatów.

P3: Jakie typy certyfikatów SSL można używać z Google Cloud Load Balancers?

A3: Zarówno samodzielne, jak i zarządzane przez Google certyfikaty SSL można użyć. Zarządzane certyfikatami mogą być certyfikaty DV, OV lub EV.

Q4: Które rodzaje równowagi obciążenia obsługują samodzielne certyfikaty SSL Compute Engine?

A4: Globalny zewnętrzny http (S) Ralancer obciążenia, globalny zewnętrzny http (s) Ralancer (klasyczny) i zewnętrzny balansowanie obciążenia proxy SSL w ramach obciążenia poziomu premium samozadowolenie silnika komputerowego SSL.

P5: Czy można hostować wiele certyfikatów SSL na jednym docelowym proxy?

A5: Tak, możliwe jest hostowanie wielu certyfikatów SSL na jednym docelowym proxy, szczególnie gdy balansowanie obciążenia obsługuje wiele nazw domen.

P6: Jaka jest maksymalna liczba certyfikatów SSL na docelową proxy podczas korzystania z zasobów certyfikatów SSL Compute Engine?

A6: Maksymalna liczba certyfikatów SSL na docelową serwer proxy nie ma konfiguracji. Więcej informacji można znaleźć w dokumentacji równoważenia obciążenia i ogranicza dokumentację.

Q7: Który certyfikat SSL jest uważany za domyślny certyfikat podczas korzystania z zasobów certyfikatów Compute Engine SSL?

A7: Pierwszy certyfikat SSL silnika obliczeniowego, do którego odwołuje się docelowa proxy, jest uważany za domyślny certyfikat dla balansu obciążenia.

P8: Czy można odwoływać się do wielu certyfikatów SSL za pomocą Certificate Manager?

A8: Tak, menedżer certyfikatów umożliwia odwołanie się do wielu certyfikatów SSL za pomocą mapy certyfikatu.

Q9: Którzy wyważający obciążenie korzystają z regionalnych proxy HTTPS?

A9: Regionalny zewnętrzny http (S) Ralancer i wewnętrzny http (S) Ralancer używają regionalnych proxy HTTPS.

P10: Jaki jest cel bezpieczeństwa warstwy transportowej (TLS)?

A10: Bezpieczeństwo warstwy transportowej (TLS) służy do szyfrowania informacji wysyłanych przez sieć, zapewniając prywatność między klientem a serwerem lub równowagą ładowania.

Użyj certyfikatów SSL zarządzanych przez Google

Przed usunięciem certyfikatu SSL upewnij się, że żaden HTTPS lub SSL Target proxy nie odnosi się do tego certyfikatu. Możesz to zrobić na dwa sposoby:

Przegląd certyfikatów SSL

Bezpieczeństwo warstwy transportowej (TLS) służy do szyfrowania informacji, gdy jest wysyłany przez sieć, zapewniając prywatność między klientem a serwerem lub równowagą ładunkową. Google Cloud Proxy Ralancers, których reguły przekazywania odnoszą się do docelowego proxy HTTPS lub docelowego proxy SSL wymagają klucza prywatnego i certyfikatu SSL w ramach docelowej konfiguracji proxy modułu modułu modułu.

Notatka: Ta strona omawia certyfikaty SSL w kontekście szyfrowania w tranzycie między Balancerem ładunkowym Google Cloud i (w dalszej części), którzy łączą się z Balancer Google Cloud Ralancer. Szczegółowe informacje na temat szyfrowania w tranzycie między Balancer Google Cloud Load i jego (uptream) zaplecza, zobacz Szyfrowanie do backends.

Metody konfiguracji certyfikatu

Google Cloud oferuje dwie metody konfigurowania certyfikatów SSL dla http (S) i SSL Proxy Load Balancers. Obie metody obsługują samodzielne i zarządzane przez Google certyfikaty SSL.

  • Oblicz zasób certyfikatu silnika SSL: Dzięki tej metodzie docelowa proxy dla globalnego zewnętrznego http (S) Ralancer, globalny zewnętrzny http (s) Ralancer (klasyczny), Zewnętrzny balancer obciążenia proxy SSL jest skonfigurowany tak, aby odwołuje się do zasobu obciążenia zewnętrznego HTTP (S) lub wewnętrznego HTTP (s). Zasób certyfikatu SSL zawiera klucz prywatny, odpowiadający certyfikat i —Patecznie – CA. Ta metoda obsługuje wszystkie poziomy usług sieciowych, które są obsługiwane przez Balancera Obciążenia.
  • Menedżer certyfikatu: Dzięki tej metodzie docelowa proxy dla globalnego zewnętrznego http (S) Ralancer, globalnego zewnętrznego http (s) Ralancer (klasyczny) lub zewnętrzny balansowanie obciążenia proxy SSL jest skonfigurowane do odwołania Mapa certyfikatu. Mapa certyfikatu zawiera jeden lub więcej Wpisy certyfikatów. Każdy wpis certyfikatu odwołuje się do zasobu certyfikatu pojedynczego menedżera certyfikatu, a każdy zasób certyfikatu zawiera klucz prywatny i certyfikat. Z menedżerem certyfikatów docelowa proxy HTTPS lub docelowa proxy SSL może odwołać się do mapy certyfikatu z tysiącami wpisów certyfikatów SSL. Ta metoda jest dostępna tylko wtedy, gdy równowaga obciążenia korzysta z poziomu usługi sieci premium. Aby uzyskać więcej informacji, zobacz przegląd menedżera certyfikatu.

Typy certyfikatów

Możesz utworzyć własne certyfikaty lub Google może zarządzać nimi:

  • Samodzielne certyfikaty SSL to certyfikaty, które otrzymujesz, udostępniasz i odnawiasz siebie. Samo zarządzane certyfikaty mogą być dowolnym z tych typów certyfikatów kluczowych:
    • Walidacja domeny (DV)
    • Walidacja organizacji (OV)
    • Rozszerzone certyfikaty sprawdzania poprawności (EV)

    Aby uzyskać więcej informacji o samodzielnych certyfikatach SSL Compute Engine, patrz Użyj samodzielnych certyfikatów SSL.

    Aby uzyskać więcej informacji o samodzielnym certyfikatach SSL i menedżerze certyfikatów, zobacz samodzielnie zarządzany certyfikat w dokumentacji menedżera certyfikatu lub wdrożyć samozatrudniony certyfikat do końca samouczka.

    Certyfikaty i wyważające na ładowanie w chmurze Google

    Poniższa tabela pokazuje, które wyważone na obciążenie Google Cloud obsługują samodzielnie zarządzane certyfikaty SSL silnika komputerowego, certyfikaty SSL silnika komputerowego w Google lub menedżer certyfikatów (zarówno samodzielnie zarządzane, jak i zarządzane Google).

    • Globalny zewnętrzny http (S) Ralancer A
    • Globalny zewnętrzny http (S) ROLLACER (klasyczny) w poziomie premium A
    • Zewnętrzny salonerator obciążenia proxy SSL na poziomie premium B
    • Globalny zewnętrzny http (S) Ralancer (klasyczny) w standardowym poziomie A
    • Zewnętrzny balansowanie obciążenia proxy SSL na standardowym poziomie B
    • Regionalny zewnętrzny http (S) Ralancer
    • Wewnętrzny http (S) Ralancer C

    A globalny zewnętrzny http (S) Ralancer i globalny zewnętrzny http (S) Ralancer (klasyczny) używają globalnych proxy HTTPS, nawet gdy globalny zewnętrzny http (S) Ralancer (klasyczny) używa standardowego poziomu.

    B Zewnętrzny balancer obciążenia proxy SSL wykorzystuje globalne proxy SSL, nawet na standardowym poziomie.

    c Regionalne zewnętrzne http (S) Ralancer obciążenia i wewnętrzny http (S) Ralancer używają regionalnych proxy HTTPS.

    Wiele certyfikatów SSL

    Możesz użyć tego samego docelowego proxy HTTPS lub docelowego proxy SSL, aby hostować wiele certyfikatów – spółek, gdy równowaga obciążenia obsługuje wiele nazw domen. Możesz skonfigurować pojedynczą regułę przekazywania (pojedynczy adres IP i port), aby odwoływać się do wspólnego docelowego proxy lub możesz skonfigurować wiele reguł przekazywania (różne adresy IP i porty), aby odwołać się do wspólnego docelowego proxy.

    Wiele zasobów certyfikatów SSL silnika obliczeniowego

    Podczas korzystania z zasobów certyfikatów Compute Engine SSL, każdy docelowy zasób proxy może odwołać Maksymalna liczba certyfikatów SSL na docelowe HTTPS lub docelowe proxy SSL. Aby uzyskać więcej informacji, zobacz Pule docelowe i docelowe proxy w dokumentacji równoważenia obciążenia i ogranicza dokumentację.

    Pierwszy zasób certyfikatu Compute Engine SSL, do którego odwołuje się docelowa proxy modułu równoważenia, jest uważany za certyfikat domyślny (podstawowy) dla równoważenia obciążenia.

    Wiele certyfikatów SSL za pomocą menedżera certyfikatów

    Korzystając z Menedżera certyfikatów, każdy docelowy zasób proxy odwołuje się do pojedynczej mapy certyfikatu. Mapa certyfikatu odwołuje się do jednego lub więcej wpisów certyfikatów, a możesz skonfigurować, który wpis certyfikatu jest certyfikatem domyślnym (podstawowym) dla mapy. Liczba certyfikatów map, wpisów i certyfikatów certyfikatów jest konfigurowalna, za kwoty na projekt. Aby uzyskać więcej informacji, zobacz kwoty zasobów w dokumentacji menedżera certyfikatu.

    Jeśli używasz równoważenia ładunków, który obsługuje menedżer certyfikatów i musisz hostować więcej niż kilka certyfikatów SSL na docelową proxy, upewnij się, że korzystasz z Certifate Manager zamiast Compute Engine SSL Resources.

    Metoda wyboru certyfikatu

    Po tym, jak klient łączy się z http (S) lub SSL Proxy Load Balancer, klient i równowaga obciążenia negocjują sesję TLS. Podczas negocjacji sesji TLS klient wysyła równowagę obciążenia listę szyfrów TLS, którą obsługuje (w kliencie). Balancer obciążenia wybiera certyfikat, którego algorytm klucza publicznego jest kompatybilny z klientem. Klient może również wysłać nazwę hosta nazwy serwera (SNI) do balansu obciążenia w ramach tej negocjacji. Dane nazwy hosta SNI są czasami używane do pomocy w wybierzeniu równoważenia obciążenia, który certyfikat powinien wysłać do klienta.

    Możesz modelować proces, z którego korzystać Balanci ładunków Google Cloud Proxy, aby wybrać certyfikat, aby wysłać do klienta w następujący sposób. W modelu zacznij od wszystkich certyfikatów SSL, które zostały skonfigurowane na docelowym proxy HTTPS lub docelowym proxy SSL – bez względu na metodę konfiguracji.

    1. Balancer obciążenia wybiera jednego kandydata na certyfikat:
      • Jeśli docelowe proxy Bamalancera obciążenia odwołuje się tylko do jednego zasobu certyfikatu silnika komputerowego SSL lub jeśli docelowi Balancer docelowego odwołuje się do mapy menedżera certyfikatu tylko z jednym wpisem certyfikatu, równowaga obciążenia używa jednego i tylko skonfigurowanego certyfikatu jako kandydata certyfikatu kandydata. Wartość nazwy hosta SNI (jeśli jest dostarczona) w ogóle nie wpływa na równoważenie obciążenia. Przejdź do kroku 2.
      • Jeśli docelowe proxy Balancera obciążenia odwołuje się do dwóch lub więcej zasobów certyfikatów SSL silnika obliczeniowego, lub jeśli docelowe proxy Balancer odwołuje się do mapy menedżera certyfikatu z dwoma lub więcej wpisami certyfikatów, równowaga obciążenia używa następującego procesu, aby wybrać A pojedynczy kandydat certyfikatu:
        • Jeśli klient nie wysyła żadnej nazwy hosta SNI w swoim kliencie, wyważający obciążenie używa certyfikatu SSL domyślnego (podstawowego) jako kandydata na certyfikat. Przejdź do kroku 2.
        • Jeśli klient wysyła nazwę hosta SNI, która nie pasuje do żadnej nazwy zwyczajowej certyfikatu (CN) i nie pasuje do żadnej alternatywnej nazwy podmiotu podmiotu certyfikatu (SAN). Przejdź do kroku 2.
        • Balancer obciążenia wybiera kandydata na certyfikat, który pasuje do nazwy hosta SNI wysłanej przez klienta. Dopasowanie odbywa się w najdłuższym prefiks zarówno w stosunku do atrybutów certyfikatów nazwy zwyczajowej (CN), jak i podmiotu alternatywnego (SAN), z preferencją dla certyfikatów ECDSA na certyfikatach RSA. Aby zilustrować metodę dopasowania, rozważ docelową proxy, która odwołuje się do jednego certyfikatu, którego CN to koty.Zwierzęta.przykład.com i inny certyfikat, którego CN to psy.Zwierzęta.przykład.com . Oprócz włączenia każdej wartości CN w SANS, każdy certyfikat zawiera *.Zwierzęta.przykład.com i *.przykład.com w swoich sansach.
          • Jeśli podana nazwa hosta SNI to koty.Zwierzęta.przykład.com, równowaga obciążenia używa certyfikatu, którego CN to koty.Zwierzęta.przykład.com jako kandydat na certyfikat. Przejdź do kroku 2.
          • Jeśli podana nazwa hosta SNI to fretki.Zwierzęta.przykład.com, używa równoważenia obciążenia jeden z dwóch Certyfikaty jako kandydata na certyfikat, ponieważ oba skonfigurowane certyfikaty mają SAN, które obejmują *.Zwierzęta.przykład.com . Nie możesz kontrolować Który z dwóch Certyfikaty stają się kandydatem na certyfikat w tej sytuacji. Przejdź do kroku 2.
    2. Kandydat certyfikatu jest wysyłany do klienta, jeśli kandydat certyfikatu użyje algorytmu klucza publicznego kompatybilnego z jednym z wyznaczonych szyfrów klienta.
      • Negocjacje TLS mogą zawieść, jeśli klient nie obsługuje pakietu szyfru, który zawiera algorytm klucza publicznego (ECDSA lub RSA) certyfikatu.
      • Balancer obciążenia nie korzysta z atrybutów notValidBe i notValidafter jako dowolnej części metody wyboru kandydata. Na przykład równowaga obciążenia może obsłużyć wygasły certyfikat, jeśli wybrano wygraną certyfikat jako kandydata na certyfikat.

    cennik

    Poniesiesz opłaty za tworzenie sieci podczas korzystania z wyrobów ładunkowych Google Cloud. Aby uzyskać więcej informacji, zobacz wszystkie ceny sieciowe. Ceny menedżera certyfikatu patrz Ceny w dokumentacji menedżera certyfikatu. Nie ma dodatkowych opłat za korzystanie z zasobów certyfikatów Compute Engine SSL.

    Co dalej

    • Aby uzyskać więcej informacji na temat certyfikatów SSL silnika obliczeniowego, zobacz następujące strony:
      • Aby uzyskać więcej informacji o samodzielnych certyfikatach SSL Compute Engine, patrz Użyj samodzielnych certyfikatów SSL.
      • Aby uzyskać więcej informacji na temat certyfikatów SSL Compute Engine zarządzane przez Google, zobacz Użyj certyfikatów SSL zarządzanych przez Google.
      • Aby dowiedzieć się o kwotach i limitach (w tym obsługiwanych kluczowych długościach) dla certyfikatów SSL silnika obliczeniowego, patrz certyfikaty SSL i pule docelowe oraz docelowe proxy w dokumentacji Balancer.
      • Przegląd menedżera certyfikatu.
      • Aby uzyskać więcej informacji o samodzielnym certyfikatach SSL i menedżerze certyfikatów, zobacz samodzielnie zarządzany certyfikat w dokumentacji menedżera certyfikatu lub wdrożyć samozatrudniony certyfikat do końca samouczka.
      • Aby uzyskać więcej informacji na temat certyfikatów SSL zarządzanych przez Google i menedżera certyfikatów, patrz Zarządzaj certyfikatami w dokumentacji menedżera certyfikatu.
      • Aby dowiedzieć się o kwotach i limitach dla menedżera certyfikatu, patrz kwoty zasoby w dokumentacji menedżera certyfikatu.

      Spróbuj tego dla siebie

      Jeśli jesteś nowy w Google Cloud, utwórz konto, aby ocenić, w jaki sposób nasze produkty działają w scenariuszach rzeczywistych. Nowi klienci otrzymują również 300 USD w bezpłatnych kredytach do uruchamiania, testowania i wdrażania obciążeń.

      Wyślij opinię

      O ile nie wspomniano inaczej, treść tej strony jest licencjonowana w ramach Creative Commons Actribution 4.0 Licencja, a próbki kodów są licencjonowane na podstawie Apache 2.0 Licencja. Aby uzyskać szczegółowe informacje, zobacz zasady witryny Google Developers. Java jest zarejestrowanym znakiem towarowym Oracle i/lub jej podmiotów stowarzyszonych.

      Ostatnia aktualizacja 2023-05-08 UTC.

      Użyj certyfikatów SSL zarządzanych przez Google

      W tej stronie omówiono sposób tworzenia i korzystania z certyfikatów SSL zarządzanych przez Google.

      Certyfikaty SSL zarządzane przez Google to certyfikaty sprawdzania poprawności domeny (DV), które Google Cloud otrzymuje i zarządza Twoimi domenami. Obsługują wiele nazw hostów w każdym certyfikcie, a Google odnawia certyfikaty automatycznie.

      Certyfikaty zarządzane przez Google są obsługiwane z następującymi równoważeniami obciążenia:

      • Globalny zewnętrzny http (S) Ralancer
      • Globalny zewnętrzny http (S) ROLLACER (klasyczny)
      • Zewnętrzny balancer obciążenia proxy SSL

      Certyfikaty SSL zarządzane przez Google nie są obsługiwane dla regionalnych zewnętrznych http (S) Ralancerów i wewnętrznych http (S) Balancerów. W przypadku tych równoważenia obciążenia użyj samodzielnych certyfikatów SSL.

      Możesz także użyć zarządzanych certyfikatów SSL z silnikiem Google Kubernetes. Aby uzyskać więcej informacji, zobacz przy użyciu certyfikatów SSL zarządzanych przez Google.

      Możesz utworzyć certyfikat zarządzany przez Google przed, w trakcie lub po utworzeniu balansu obciążenia. Ta strona zakłada, że ​​tworzysz certyfikat przed lub po utworzeniu równoważenia obciążenia, a nie w trakcie. Aby utworzyć certyfikat podczas tworzenia równoważenia obciążenia, zobacz strony naczyniowe obciążenia.

      Zanim zaczniesz

      • Upewnij się, że znasz przegląd certyfikatów SSL.
      • Upewnij się, że masz nazwy domeny, których chcesz użyć do swojego certyfikatu SSL zarządzanego przez Google. Jeśli korzystasz z domen Google, patrz Krok 1: Zarejestruj nazwę domeny za pomocą domen Google.
      • Upewnij się, że włączyłeś interfejs API silnika obliczeniowego dla swojego projektu. Włącz interfejs API silnika obliczeniowego

      Uprawnienia

      Aby śledzić ten przewodnik, musisz być w stanie utworzyć i modyfikować certyfikaty SSL w swoim projekcie. Możesz to zrobić, jeśli jedna z poniższych jest prawdziwa:

      • Jesteś właścicielem lub redaktorem projektu (role/właściciel lub role/redaktor).
      • Masz zarówno rolę administratora bezpieczeństwa obliczeniowego (oblicz.SecurityAdmin) i rola administratora sieci obliczeniowej (oblicz.Networkadmin) w projekcie.
      • Masz niestandardową rolę w projekcie, który obejmuje obliczenie.SSLCertificates.* uprawnienia i jedno lub oba obliczenia.TargethttpSproxies.* i oblicz.TargetsslProxies.*, w zależności od rodzaju modułu równoważenia obciążenia, którego używasz.

      Krok 1. Utwórz certyfikat SSL zarządzany przez Google

      Możesz utworzyć certyfikat zarządzany przez Google przed, w trakcie lub po utworzeniu balansu obciążenia. Podczas procesu tworzenia modułu równoważenia obciążenia w konsoli Google Cloud możesz użyć Konsoli Google Cloud, aby utworzyć certyfikat. Alternatywnie możesz utworzyć certyfikat przed lub po utworzeniu równoważenia obciążenia. Ten krok pokazuje, jak utworzyć certyfikat, który możesz później dodać do jednego lub większej liczby równowagi obciążenia.

      Jeśli już utworzyłeś certyfikat SSL zarządzany przez Google, możesz pominąć ten krok.

      Konsola

      Możesz pracować z globalnymi certyfikatami SSL na Klasyczne certyfikaty zakładka na Menedżer certyfikatu strona.

      1. Idź do Klasyczne certyfikaty Zakładka w Cloud Console Google.
        Przejdź do klasycznych certyfikatów
      2. Kliknij Utwórz certyfikat SSL.
      3. Wprowadź nazwę i opcjonalny opis certyfikatu.
      4. Wybierać Utwórz certyfikat zarządzany przez Google.
      5. Dodaj domeny.
      6. Kliknij Tworzyć.

      Gcloud

      Aby utworzyć globalny certyfikat SSL zarządzany przez Google dla globalnego zewnętrznego http (S) Ralancer lub zewnętrznego balansu obciążenia proxy SSL, użyj polecenia GCLoud Compute-Certificates Utwórz:

      GCLOUD Compute SSL-certyfikaty tworzą NAZWA CERTYFIKATU \ - -description =OPIS \ - -Domains =Domain_list \ --Global

      Wymień następujące:

      • Nazwa_tykcji: nazwa globalnego certyfikatu SSL
      • Opis: Opis globalnego certyfikatu SSL
      • DOMAIN_LIST: Pojedyncza nazwa domeny lub lista nazw domen do niniejszej nazwy domeny do tego certyfikatu

      Terraform

      Aby utworzyć certyfikat SSL zarządzany przez Google, użyj zasobu Google_Comput_Managed_SSL_Certificate.

      Zasób &bdquo;Google_Comput_Mananaged_SSL_Certificate&rdquo; &bdquo;LB_DEFAULT&rdquo; < provider = google-beta name = "myservice-ssl-cert" managed < domains = [var.domain_name] >>

      API

      Utwórz SSLCertificates Resource Certificate Resource.Wstaw metodę, zastępując Project_ID swoim identyfikatorem projektu.

      Opublikuj https: // oblicz.Googleapis.com/compute/v1/projekty/[projekt_id]/global/sslcertificates < "name": "ssl-certificate-name", "managed": < "domains": [ "www.example.com" ] >, &bdquo;Type&rdquo;: &bdquo;Managed&rdquo;>

      Sprawdź status certyfikatu SSL zarządzanego przez Google

      Konsola

      Możesz sprawdzić status swoich globalnych certyfikatów SSL na Klasyczne certyfikaty zakładka na Menedżer certyfikatu strona.

      1. Idź do Klasyczne certyfikaty Zakładka w Cloud Console Google.
        Przejdź do klasycznych certyfikatów
      2. (Opcjonalnie) Filtruj listę certyfikatów SSL.
      3. Sprawdź Status kolumna.
      4. Aby wyświetlić więcej szczegółów, kliknij nazwę certyfikatu.

      Gcloud

      Aby określić status certyfikatu zarządzanego przez Google, możesz użyć poleceń obliczeniowych GCLoud. Po uruchomieniu odpowiedniego polecenia zwróć uwagę na następujące:

      Aby wymienić swoje certyfikaty SSL zarządzane przez Google, użyj polecenia GCLoud Compute SSL-certyfikaty z flagą-Global .

      GCLOUD Compute SSL-certyfikaty lista \ --Global

      Możesz użyć polecenia GCLoud Compute-Certificates Opisz, zastępując nazwę Certyfikatu:

      GCLOUD COMPUTE-CERTYFATYS SSPINE NAZWA CERTYFIKATU \ --Global \ - -Format = "get (nazwa, zarządzana.status, zarządzany.domainstatus) "

      W tym momencie status certyfikatu i status domeny dostarczają . Po wykonaniu kroków na tej stronie statusy zmieniają się na aktywne .

      Aby uzyskać więcej informacji na temat statusów, zobacz stronę rozwiązywania problemów.

      Krok 2: Utwórz lub zaktualizuj równoważenie obciążenia

      Aby stać się aktywnym, certyfikat SSL zarządzany przez Google musi być powiązany z balansem obciążeniowym, w szczególności docelowym proxy.

      Po utworzeniu certyfikatu SSL i jest on w stanie udostępniania, możesz go używać podczas tworzenia równoważenia obciążenia, jak opisano w następujących przewodnikach:

      • Skonfiguruj globalny zewnętrzny moduł równoważenia obciążenia HTTP (S) z zapleczem silnika obliczeniowego
      • Skonfiguruj globalny zewnętrzny http (S) Ralancer (klasyczny) z backendem komputerowym silnika
      • Skonfiguruj zewnętrzny balansowanie obciążenia proxy SSL

      Lub możesz go użyć do aktualizacji istniejącego balansu obciążenia, jak opisano tutaj:

      Konsola

      Po aktualizacji globalnego zewnętrznego http (S) Ralancer lub zewnętrznego SSL Proxy Load Balancer za pomocą Google Cloud Console, Google Cloud automatycznie kojarzy Twój certyfikat SSL z poprawnym docelowym proxy.

      1. Idź do Równoważenie obciążenia Strona w konsoli Google Cloud.
        Idź do równoważenia obciążenia
      2. Kliknij nazwę swojego równoważenia obciążenia.
      3. Kliknij Edytować edytować .
      4. Kliknij Konfiguracja frontendowa.
      5. Kliknij prawidłowy front (musi być HTTPS, HTTP/2, SSL).
      6. Kliknij Dodatkowe certyfikaty, i wybierz swój certyfikat zarządzany przez Google z listy rozwijanej.
      7. Kliknij Tworzyć.

      Gcloud

      Aby powiązać certyfikat SSL z docelowym proxy HTTPS dla globalnego zewnętrznego wyważającego http (S), użyj polecenia aktualizacji GCLoud Compute Target-HTTPS-Proxie

      Aktualizacja GCLOUD Compute Target-Https-Proxies Target_proxy_name \--SSL-certyfikaty SSL_Certificate_List \ --Global-SSL-certyfikaty \ --Global

      Aby powiązać certyfikat SSL z docelowym proxy SSL dla zewnętrznego balansu obciążenia proxy SSL, użyj polecenia aktualizacji GCLOUD Compute Target-SSL-Proxies:

      Aktualizacja GCLOUD Compute Target-SSL-procsies Target_proxy_name \--SSL-certyfikaty SSL_Certificate_List

      Wymień następujące:

      • Target_proxy_name: Nazwa docelowego proxy Balancer
      • SSL_Certificate_List: Lista zasobów certyfikatów SSL, pod względem przecinka Upewnij się, że lista odwołanych certyfikatów zawiera wszystkie starsze ważne certyfikaty SSL, a także nowy certyfikat SSL. Polecenie GCLoud Compute Target-SSL-proksies zastępuje oryginalne wartości dla–SSL-certyfikaty nową wartością.

      Terraform

      Aby utworzyć docelowy proxy HTTPS, użyj zasobu Google_Compute_Target_Https_Proxy.

      Aby utworzyć docelowy proxy SSL, użyj zasobu Google_Comput_Target_SSL_Proxy.

      Zasób &bdquo;Google_Compute_Target_Https_Proxy&rdquo; &bdquo;LB_DEFAULT&rdquo;

      Każdy docelowy proxy HTTPS lub docelowy proxy SSL musi odnieść się do co najmniej jednego certyfikatu SSL. Docelowa proxy może odwołać się do więcej niż jednego certyfikatu SSL. Szczegółowe informacje można znaleźć.

      Ważny: W przypadku zewnętrznych balanserów obciążenia proxy SSL z certyfikatami SSL zarządzanymi przez Google reguła przekazywania równoważenia obciążenia musi użyć portu 443 TCP, aby certyfikat zarządzany przez Google został początkowo udostępniany i automatycznie odnowiony.

      Krok 3: Sprawdź docelowe stowarzyszenie proxy

      Po utworzeniu lub zaktualizowaniu równoważenia obciążenia możesz upewnić się, że certyfikat SSL jest powiązany z docelowym proxy Balancer.

      Jeśli jeszcze nie znasz nazwy docelowej proxy, użyj listy GCLoud Compute Target-HTTPS-Proxies i poleceń List Compute Compute Compute.

      Sprawdź związek między certyfikatem SSL a docelowym proxy, uruchamiając następujące polecenie.

      Dla globalnych zewnętrznych http (S) Ralancers:

      GCLOUD Compute Target-Https-Proxies Target_https_proxy_name \ --Global \ - -Format = "Get (sslCertifices)"

      Dla zewnętrznych balansów obciążenia proxy SSL:

      GCLOUD Compute Target-SSL-proksies Opisz Target_ssl_proxy_name \ - -FORMAT = "GET (SSLCertifices)"

      W tym momencie Twój status certyfikatu zarządzanego przez Google może nadal udostępniać . Google Cloud współpracuje z organem certyfikacyjnym w celu wydania certyfikatu. Udostępnienie certyfikatu zarządzanego przez Google może potrwać do 60 minut.

      Krok 4: Zaktualizuj rekordy DNS A i AAAA, aby wskazać adres IP MOLED BYLANCER

      Twoje rekordy DNS mogą być zarządzane na stronie rejestratora, DNS Host lub ISP. W przypadku zarządzania rekordami DNS, upewnij się, że dodaj lub aktualizuj rekordy DNS (dla IPv4) i DNS AAAA (dla IPv6) dla twoich domen i dowolnych subdomenów.

      Upewnij się, że rekordy wskazują na adres IP powiązany z regułą lub regułami przesyłania równoważenia obciążenia, używając rekordu A/AAAA.

      Jeśli masz wiele domen w certyfikatie zarządzanym przez Google, dodaj lub zaktualizuj rekordy DNS dla wszystkich domen i subdomenów. Wszystkie muszą wskazywać na adres IP twojego obciążenia.

      Zarządzane certyfikaty mogą z powodzeniem dostarczyć, jeśli następujące są prawdziwe:

      • Rekordy DNS Twojej domeny używają rekordu CNAME, który wskazuje na inną domenę.
      • Druga domena zawiera rekord A lub AAAA, który wskazuje na adres IP twojego modułu równoważenia obciążenia.

      Możesz zweryfikować konfigurację, uruchamiając polecenie DIG. Załóżmy na przykład, że twoja domena to www.przykład.com . Uruchom następujące polecenie DIG:

      Kop www.przykład.com

      ; > DIG 9.10.6> www.przykład.com ;; Opcje globalne: +cmd ;; Dostałem odpowiedź :;; ->> Nagłówek
      

      W tym przykładzie 34.95.64.10 to adres IP twojego modułu równoważenia obciążenia.
      

      DNS Resicvers w Internecie są poza kontrolą Google Cloud. Buforują twoje zestawy rekordów zasobów zgodnie z czasem na żywo (TTL), co oznacza, że ​​polecenie wykopu lub nslookup może zwrócić wartość buforowaną. Jeśli używasz chmur DNS, patrz propagacja zmian.
      

      Czas propagacji rekordów DNS
      

      Nowo zaktualizowane rekordy DNS A i AAAA mogą zająć znaczną ilość czasu na pełne propagowanie. Czasami propagacja w Internecie zajmuje do 72 godzin na całym świecie, chociaż zwykle zajmuje to kilka godzin.
      

      Ponowne uruchomienie następujące polecenie:
      

      GCLOUD COMPUTE-CERTYFATYS SSPINE NAZWA CERTYFIKATU \ - -format = "get (zarządzany.domainstatus) "
       
       
      Jeśli status Twojej domeny nie jest nieudany_not_visible, może to być dlatego, że propagacja nie jest kompletna.
       
      Krok 5: Test z OpenSSL
       
       
      Po aktywności certyfikatu i statusów domeny, na rozpoczęcie korzystania z certyfikatu SSL może potrwać do 30 minut.
       
      Aby przetestować, uruchom następujące polecenie OpenSSL, zastępując domenę nazwą DNS i IP_ADDress.
       
      Echo | OpenSsl S_Client -ShowCerts -ServerName DOMENA -łączyć ADRES IP: 443 -Verify 99 -verify_return_error
       
       
      To polecenie wyświetla certyfikaty przedstawione klientowi. Wraz z innymi szczegółowymi informacjami wyjście powinno zawierać łańcuch certyfikatu i sprawdź kod powrotu: 0 (OK) .
       
      Dodatkowe procedury
       
       
      Niniejsza sekcja zawiera dodatkowe procedury zarządzania certyfikatami.
       
      Obsługuj wiele domen za pomocą certyfikatu SSL zarządzanego przez Google
       
       
      Obsługiwane jest wiele podmiotów alternatywnych. Każdy certyfikat SSL zarządzany przez Google obsługuje maksymalną liczbę domen na certyfikat SSL zarządzany przez Google.
       
      Jeśli masz więcej niż maksymalną liczbę domen, musisz poprosić o wiele certyfikatów zarządzanych przez Google. Na przykład, jeśli spróbujesz utworzyć certyfikat zarządzany przez Google z domenami (maksymalnie + 1), Google nie wydaje żadnych certyfikatów. Zamiast tego musisz utworzyć dwa lub więcej certyfikatów zarządzanych Google i jawnie określić, które domeny są powiązane z każdym certyfikatem.
       
      Google Cloud implementuje wskazanie nazwy serwera (SNI), zgodnie z definicją w RFC 6066.
       
      Jeśli którakolwiek z domen lub subdomen w zarządzanym certyfikat. Aby uniknąć awarii odnowienia, upewnij się, że wszystkie domeny i subdomeny wskazują na adres IP modułu równoważenia obciążenia.
       
      Odnów certyfikat SSL zarządzany przez Google
       
       
      Postanowienia w chmurze Google zarządzane certyfikatami ważne przez 90 dni. Około miesiąc przed wygaśnięciem proces automatycznie rozpoczyna się przedłużenie certyfikatu. W tym celu wybrany jest organ certyfikatów (CA), który jest zarówno w rekordach DNS Autherification Autherification Authority Autherific.
       
      CA używane do odnowy może być różne od CA używanego do wydania poprzedniej wersji twojego certyfikatu zarządzanego przez Google. Możesz kontrolować CA, którego Google Cloud używa do odnowienia, zapewniając, że rekord CAA DNS w domenie określa pojedynczą CA z listy CAS, z której korzysta certyfikaty zarządzane przez Google.
       
      Jeśli którakolwiek z domen lub subdomen w zarządzanym certyfikat. Aby uniknąć awarii odnowienia, upewnij się, że wszystkie domeny i subdomeny wskazują na adres IP modułu równoważenia obciążenia.
       
      Określ CAS, który może wydać certyfikat zarządzany przez Google
       
       
      W oprogramowaniu DNS zalecamy wyraźne upoważnienie CAS, które chcesz pozwolić na wydanie certyfikatu zarządzanego przez Google. Chociaż nie jest to wymagane w każdym scenariuszu, jest to konieczne w niektórych sytuacjach.
       
      Na przykład, jeśli korzystasz z zewnętrznej usługi DNS, a Twój certyfikat zarządzany przez Google jest cofnięty, usługa może tylko potwierdzić nowy certyfikat wydany przez jeden lub bardziej specyficzny CAS.
       
      Aby to zrobić, utwórz lub zmodyfikuj rekord CAA, aby zawierać PKI.Goog lub LetsEncrypt.org lub oba. Jeśli nie masz rekordu CAA, domyślnym zachowaniem jest umożliwienie obu PKI.Goog i LetsEncrypt.org .
       
      DOMENA. CAA 0 wydanie &bdquo;PKI.Goog " DOMENA. CAA 0 wydanie &bdquo;LetsEncrypt.org "
       
       
      Obsługa LetsEncrypt.Certyfikaty ORG są dostarczane na podstawie najlepszych efektów. Aby uzyskać najlepszą niezawodność, pozwól obu PKI.Goog i LetsEncrypt.org . Jeśli określisz tylko jeden z CAS, tylko ten CA jest używany do tworzenia i odnowienia certyfikatu. To podejście nie jest zalecane.
       
      Kiedy najpierw utworzysz certyfikat, Google Cloud wybiera albo PKI.Goog lub LetsEncrypt.org i używa go do wydawania certyfikatu. Kiedy Google odnawia certyfikat, twój certyfikat może zostać wydany przez drugą CA, w zależności od CAS określonego w rekordzie CAA (jeśli go utworzyłeś). Twój certyfikat może zostać odnowiony przez inny CA w jednym z poniższych przypadków:
       
         
      • Nie masz rekordu DNS CAA dla swojej domeny.
        •  
      • Uwzględniłeś oba CAS w rekordzie DNS CAA.
        •  
       
      Aby uzyskać więcej informacji, zobacz rekord RFC, CAA DNS.
       
      LetsEncrypt.Org problemów z międzynarodowymi nazwami domen (IDNS). PKI.Goog nie obsługuje obecnie IDNS.
       
      Jeśli używasz Cloud DNS, naucz się dodawać rekord i upewnij się, że ustaw Flagę -Type na CAA .
       
      Notatka: Po dodaniu CA w rekordzie CAA, może zająć znaczną ilość czasu, aby DNS propagować tę zmianę i sprawić, że jest widoczna do CA. W rezultacie proces odnawiania certyfikatów może początkowo zawieść, ale ostatecznie powiód. Aby uzyskać więcej informacji, zobacz rozwiązywanie problemów z certyfikatami SSL.
       
      Wymień istniejący certyfikat SSL
       
       
      Aby zastąpić istniejący certyfikat SSL:
       
         
      1. Rozpocznij proces tworzenia zastępczego certyfikatu SSL zarządzanego przez Google. Ten certyfikat nie staje się aktywny w tym momencie.
        2.  
      2. Zaktualizuj docelową proxy, aby lista odwołanych certyfikatów zawierała certyfikat zastępczy SSL wraz z bieżącymi certyfikatami SSL. Kroki aktualizacji docelowego proxy różnią się w następujący sposób: 
           
        • Zaktualizuj docelowy proxy HTTPS
          •  
        • Zaktualizuj docelowy proxy SSL
          •  
         
        Notatka: Aby kontynuować ruch, docelowy proxy musi nadal odwoływać się do bieżących certyfikatów SSL. Aby certyfikat zastępczy ukończył proces udostępniania, docelowy proxy musi również odwołać się do certyfikatu wymiany.
        3.  
         
      3. Poczekaj, aż zastępujący certyfikat SSL ukończy udostępnianie. Postrzeganie może potrwać do 60 minut. Po zakończeniu udostępniania status certyfikatu staje się aktywny . Notatka: Dostarczenie certyfikatu zarządzanego przez Google może zająć się 60 minut Od momentu zmiany konfiguracji DNS i Balancer obciążenia rozprzestrzeniły się w Internecie. Jeśli ostatnio zaktualizowałeś konfigurację DNS, może to zająć znaczną ilość czasu na zmiany w pełni propaguj. Czasami propagacja trwa do 72 godzin na całym świecie, chociaż zwykle zajmuje to kilka godzin. Aby uzyskać więcej informacji na temat propagacji DNS, patrz propagacja zmian.
        4.  
      4. Poczekaj dodatkowe 30 minut, aby upewnić się, że certyfikat wymiany jest dostępny dla wszystkich frontów Google (GFE).
        5.  
      5. Zaktualizuj docelową proxy, aby usunąć certyfikat SSL, który zastępujesz z listy odwołanych certyfikatów. Kroki aktualizacji docelowego proxy różnią się w następujący sposób: 
           
        • Zaktualizuj docelowy proxy HTTPS
          •  
        • Zaktualizuj docelowy proxy SSL
          •  
         
        6.  
      6. Poczekaj 10 minut i potwierdź, że równowaga obciążenia używa zamiennego certyfikatu SSL zamiast starego.
        7.  
      7. Zaktualizuj ponownie docelowy proxy, usuwając stary zasób certyfikatu SSL. Możesz usunąć zasób certyfikatu SSL, jeśli nie odwołuje się już żadnego docelowego proxy.
        8.  
       
      Jeśli nie usuniesz starego certyfikatu SSL, pozostaje on aktywny, dopóki nie wygasa.
       
      Migruj z samodzielnych certyfikatów SSL do certyfikatów SSL zarządzanych przez Google
       
       
      Podczas migracji równoważenia obciążenia z korzystania z samodzielnych certyfikatów SSL do certyfikatów SSL zarządzanych przez Google musisz wykonać następujące kroki w tej sekwencji:
       
         
      1. Utwórz nowy certyfikat zarządzany przez Google.
        2.  
      2. Associate New Google-Managed Certificate z prawidłowym docelowym proxy przy jednoczesnym utrzymaniu docelowego związku proxy z istniejącym certyfikatem zarządzanym.
        3.  
      3. Poczekaj, aż status certyfikatu zarządzanego przez Google będzie aktywny .
        4.  
      4. Poczekaj 30 minut, aby pozwolić nowemu certyfikatowi propagować się do obsługi Front Fronts (GFE)
        5.  
      5. Zaktualizuj ponownie docelowy serwer proxy, usuwając samodzielnie zarządzany zasób certyfikatu. Możesz usunąć samodzielnie zarządzane zasob.
        6.  
       
      Usuń certyfikat SSL
       
       
      Przed usunięciem certyfikatu SSL upewnij się, że żaden HTTPS lub SSL Target proxy nie odnosi się do tego certyfikatu. Możesz to zrobić na dwa sposoby:
       
         
      • Usuń docelowe proxy, które odnoszą się do tego certyfikatu.
        •  
      • Zaktualizuj docelowe proxy, które odnoszą się do tego certyfikatu, aby go wykluczyć. Kroki różnią się w następujący sposób: 
           
        • Zaktualizuj proxy HTTPS.
          •  
        • Zaktualizuj proxy SSL Target.
          •  
         
        Aby usunąć jedno lub więcej certyfikatów SSL:
         
        Konsola
         
         
        Możesz usunąć globalne certyfikaty SSL na Klasyczne certyfikaty zakładka na Menedżer certyfikatu strona.
         
           
        1. Idź do Klasyczne certyfikaty Zakładka w Cloud Console Google. 
          Przejdź do klasycznych certyfikatów
          2.  
        2. Wybierz certyfikat SSL, który chcesz usunąć.
          3.  
        3. Kliknij Usuń Usuwać.
          4.  
        4. Aby potwierdzić, kliknij Usuń Usuwać Ponownie.
          5.  
         
        Gcloud
         
         
        Aby usunąć globalny certyfikat SSL (dla globalnych zewnętrznych http (S) Ralancerów lub zewnętrznych balanserów obciążenia proxy SSL), użyj polecenia GCLOUD Compute SSL-Certificates Delete z poleceniem --Global:
         
        GCLOUD Compute SSL-certyfikaty usuwają NAZWA CERTYFIKATU \ --Global
         
         
        Wymień następujące:
         
           
        • Nazwa_tykcji: nazwa certyfikatu SSL
          •  
         
        Co dalej
         
         
           
        • Aby rozwiązywać problemy z certyfikatami SSL, patrz rozwiązywanie problemów z certyfikatami SSL.
          •  
        • Aby użyć skryptu Terraform, który tworzy certyfikat zarządzany przez Google, zobacz przykład uruchomienia chmur na Przykłady modułu terraform dla zewnętrznego modułu równoważenia http ( strona.
          •  
         
        Wyślij opinię
         
        O ile nie wspomniano inaczej, treść tej strony jest licencjonowana w ramach Creative Commons Actribution 4.0 Licencja, a próbki kodów są licencjonowane na podstawie Apache 2.0 Licencja. Aby uzyskać szczegółowe informacje, zobacz zasady witryny Google Developers. Java jest zarejestrowanym znakiem towarowym Oracle i/lub jej podmiotów stowarzyszonych.
         
        Ostatnia aktualizacja 2023-05-08 UTC.
         
        Czy Google wydaje certyfikaty SSL
         
         
         Kobieta stoi na stołku, aby zawiesić nazwę domeny w pasku adresu przeglądarki, podczas gdy mężczyzna przegląda alternatywne nazwy domeny
         
        Proste kroki w celu zabezpieczenia Twojej witryny
         
        Każda domena, którą zarejestrujesz w domenach Google, ma ochronę prywatności, DNSSEC z jednym kliknięciem i weryfikacją Google-wszystko bez dodatkowych kosztów. Czy ty&rsquo;Ponowne uruchomienie pobocznego projektu lub rozszerzenie firmy&rsquo;S OBECNE ONLINE, oto kilka łatwych kroków, które możesz podjąć, aby lepiej chronić swoją stronę internetową.
         
        Uzyskaj certyfikat SSL, aby zaszyfrować swoją witrynę
         
        Zabezpiecz swoją witrynę i chroń swoich użytkowników&rsquo; Informacje z szyfrowaniem HTTPS poprzez instalowanie certyfikatu SSL. Certyfikat SSL przechowuje poufne informacje, takie jak dane dotyczące karty kredytowej prywatne, podsumowując dane, gdy podróżuje do i z Twojej witryny. A szyfrowanie HTTPS zapewnia, że ​​nikt nie może uzyskać dostępu ani monitorowania komunikacji na stronie lub z Twojej witryny.
         
         Obraz 1
         
        Chroń swoją witrynę przed SSL Stripping
         
        Instalowanie certyfikatu SSL jest koniecznością, ale sam SSL ISN&rsquo;t Całkowicie odporny na hack: Powinieneś również użyć ładowania HSTS. Bez HST, ktoś może spróbować rozebrać witrynę certyfikatu SSL, aby mógł załadować twoje strony przez HTTP (zamiast HTTPS). Najlepszym sposobem ochrony witryny przed SSL Stripping jest użycie nazwy domeny zagradzanej HSTS lub dodanie witryny do listy przedproadłów HSTS (lista stron internetowych, które nowoczesne przeglądarki ładują się tylko nad zaszyfrowanym połączeniem). Oto dwa sposoby na znalezienie listy przedproadłów HSTS:
         
         Zdjęcie 2
         
        Zarejestruj nazwę domeny&rsquo;S HSTS-COMPROODED (zalecane)
         
        Najszybszym sposobem na wejście na listę obciążenia HSTS jest użycie zakończenia domeny .App, .dev lub .Strona to&rsquo;s już na liście. Każda strona internetowa z domeną najwyższego poziomu (TLD) na liście jest automatycznie chroniona przez HSTS-Preloading.
         
         Zdjęcie 3
         
        Dodaj swoją witrynę do listy
         
        Właściciele witryn mogą indywidualnie dodać swoją stronę internetową do listy przedproadłów HSTS w HSTSPRELOAD.org. Należy jednak pamiętać, że jest to powolny proces, ponieważ aktualizacje listy mogą być nierozpoznane przez przeglądarkę do czasu aktualizacji lub nowej wersji. Wszystkie współczesne przeglądarki mogą potrwać miesiące, aby rozpoznać, że Twoja witryna została dodana.