SSL-Richtlinien geben eine Mindest-TLS-Version und eine Reihe von TLS-Funktionen an, die Cloud Load Balancing beim Aushandeln von SSL mit Clients verwendet. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.
SSL-Richtlinien werden von den folgenden Load-Balancern unterstützt:
- Regionale SSL-Richtlinien
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinien für SSL- und TLS-Protokolle.
Sie können SSL-Richtlinien mithilfe der Cloud de Confiance Console oder der Google Cloud CLI erstellen und verwalten, wenn Sie einen HTTPS- oder SSL-Load-Balancer erstellen, oder nach dem Erstellen des Load-Balancers.
SSL-Richtlinien erstellen
Sie können SSL-Richtlinien mit vordefinierten Profilen oder mit einem benutzerdefinierten Profil erstellen.
SSL-Richtlinie mit einem vordefinierten Profil erstellen
Console
Regionale SSL-Richtlinie
So erstellen Sie eine regionale SSL-Richtlinie mit einem vordefinierten Profil:
Rufen Sie in der Cloud de Confiance -Console die Seite SSL-Richtlinien auf.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie bei Region eine Region aus.
Wählen Sie einen Wert für Mindest-TLS-Version aus.
Wählen Sie für Profil die Option Kompatibel, Modern, Eingeschränkt oder FIPS_202205 aus.
- Für SSL-Richtlinien, die das Profil
FIPS_202205verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden. - Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil
RESTRICTEDverwenden.
Anschließend werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.
- Für SSL-Richtlinien, die das Profil
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
gcloud
Regionale SSL-Richtlinie
Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem vordefinierten Profil.
- Für SSL-Richtlinien, die das Profil
FIPS_202205verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden. - Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil
RESTRICTEDverwenden.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--region REGION
Ersetzen Sie Folgendes:
SSL_POLICY_NAME: der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendetREGION: die Region für die SSL-Richtlinie
Mit dem folgenden Befehl wird eine regionale SSL-Richtlinie mit dem Profil COMPATIBLE erstellt:
gcloud compute ssl-policies create my-ssl-policy \
--profile COMPATIBLE \
--min-tls-version 1.1 \
--region us-west1
SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen
Console
Regionale SSL-Richtlinie
So erstellen Sie eine regionale SSL-Richtlinie mit einem benutzerdefinierten Profil:
Rufen Sie in der Cloud de Confiance -Console die Seite SSL-Richtlinien auf.
Klicken Sie auf Richtlinie erstellen.
Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.
Geben Sie einen Namen ein.
Wählen Sie bei Region eine Region aus.
Wählen Sie einen Wert für Mindest-TLS-Version aus.
Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Funktionen werden als Deaktivierte Funktionen angezeigt.
Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.
Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie eine SSL-Richtlinie mit dem Profil CUSTOM erstellen, werden nur die Funktionen unterstützt, die Sie im Befehl create angeben. Andere Funktionen werden nicht unterstützt.
Regionale SSL-Richtlinie
Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem benutzerdefinierten Profil:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION
Ersetzen Sie Folgendes:
SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.SSL_FEATURE_1 | 2 | 3: Die anzuwendenden benutzerdefinierten FunktionenREGION: die Region, in der die SSL-Richtlinie angewendet werden soll
Im folgenden Beispiel wird eine regionale SSL-Richtlinie erstellt, in der das Profil CUSTOM mit einer TLS-Mindestversion von 1.2 und den Funktionen TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 verwendet wird.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
--region us-west1
SSL-Richtlinien auflisten
Console
Rufen Sie in der Cloud de Confiance -Console die Seite SSL-Richtlinien auf.
Sie können eine Liste aller verfügbaren SSL-Richtlinien aufrufen. Das Feld Umfang gibt an, ob die SSL-Richtlinie global oder regional ist.
gcloud
Nur regionale SSL-Richtlinien auflisten:
gcloud compute ssl-policies list --regions REGION
Ersetzen Sie REGION durch die Region, in der die SSL-Richtlinie angewendet werden soll.
In einer SSL-Richtlinie verfügbare Features auflisten
Console
Rufen Sie in der Cloud de Confiance -Console die Seite SSL-Richtlinien auf.
Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden aufgeführt.
gcloud
So listen Sie die in regionalen SSL-Richtlinien verfügbaren Features auf:
gcloud compute ssl-policies list-available-features \
--region REGION
Ersetzen Sie REGION durch die Region der SSL-Richtlinie, deren Funktionen Sie auflisten möchten.
SSL-Richtlinien ändern
Console
So ändern Sie eine regionale SSL-Richtlinie:
Rufen Sie in der Cloud de Confiance -Console die Seite SSL-Richtlinien auf.
Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.
Klicken Sie auf Bearbeiten.
Nehmen Sie die gewünschten Änderungen vor.
Klicken Sie auf Speichern.
gcloud
Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.
Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.
Regionale SSL-Richtlinien
- Für SSL-Richtlinien, die das Profil
FIPS_202205verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden. - Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil
RESTRICTEDverwenden.
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
[--custom-features FEATURES \]
--region REGION
Ersetzen Sie Folgendes:
SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.FEATURES: die Funktionen, die auf die SSL-Richtlinie angewendet werden sollenREGION: die Region der SSL-Richtlinie, deren Funktionen Sie aktualisieren möchten
Zielproxy mit einer SSL-Richtlinie erstellen
Console
Sie können einen Zielproxy mithilfe der Cloud de Confiance Console erstellen, wenn Sie den Load-Balancer erstellen oder aktualisieren, wie in den folgenden Dokumenten gezeigt:
gcloud
So erstellen Sie einen regionalen HTTPS-Zielproxy mit einer regionalen SSL-Richtlinie:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
--ssl-certificates SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--url-map-region MAP_REGION \
--ssl-policy SSL_POLICY_NAME \
--region REGION
Ersetzen Sie Folgendes:
REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des ZielproxysSSL_CERTIFICATE_NAME: der Name des TLS-ZertifikatsURL_MAP_NAME: der Name des URL-MappingsMAP_REGION: der Name der Cloud de Confiance-Region, in der sich die URL-Zuordnung befindetSSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.REGION: die Region der SSL-Richtlinie, mit der Sie den HTTPS-Zielproxy erstellen möchten
Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen
Console
Zielproxys können in der Cloud de Confiance Console nicht geändert werden. Verwenden Sie stattdessen die gcloud CLI oder die API.
gcloud
Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen HTTPS-Proxy anzuhängen.
So finden Sie alle Projekte in Ihrer Organisation, die HTTPS-Zielproxys haben:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxyErsetzen Sie
ORGANIZATION_IDdurch die ID der Organisation, in der Sie nach HTTPS-Ziel-Proxys suchen möchten.
Verwenden Sie die Methode
targetHttpsProxies.aggregatedList, um alle regionalen HTTPS-Zielproxys in einem Projekt aufzulisten, wobei der AbfrageparameterincludeAllScopesauftruefestgelegt ist. Verwenden Sie dann den Abfrageparameterfilter, um nach Ziel-HTTPS-Proxys zu suchen, auf die keine SSL-Richtlinie verweist.curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressedErsetzen Sie Folgendes:
PROJECT_ID: der Name der Projekt-IDYOUR_API_KEY: Ihr API-SchlüsselYOUR_ACCESS_TOKEN: Ihr Zugriffstoken
So hängen Sie eine vorhandene regionale SSL-Richtlinie an einen regionalen Ziel-HTTPS-Proxy an:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGIONErsetzen Sie Folgendes:
REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des ZielproxysSSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.REGION: die Region der SSL-Richtlinie, die Sie an den regionalen HTTPS-Zielproxy anhängen möchten
Wenn Sie eines der Flags --ssl-policy oder --clear-ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Das Flag --clear-ssl-policy wird unter SSL-Richtlinie von einem Zielproxy löschen beschrieben.
API
Verwenden Sie die Methode regionTargetHttpsProxies.patch, um eine regionale SSL-Richtlinie für einen regionalen Zielproxy festzulegen.
SSL-Richtlinie von einem Zielproxy löschen
Console
Zielproxys können in der Cloud de Confiance Console nicht geändert werden. Verwenden Sie stattdessen die gcloud CLI oder die API.
gcloud
Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem HTTPS-Proxy zu entfernen. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet der Load-Balancer die Standard-SSL-Richtlinie. Die Verwendung des Flags --clear-ssl-policy entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.
So entfernen Sie eine regionale SSL-Richtlinie von einem regionalen Ziel-HTTPS-Proxy:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
Ersetzen Sie Folgendes:
REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des ZielproxysREGION: die Region der SSL-Richtlinie, die Sie an den regionalen HTTPS-Zielproxy anhängen möchten
Wenn Sie im Update-Befehl das Flag --clear-ssl-policy angeben, wird die SSL-Richtlinie vom Proxy entfernt.
Wenn Sie eines der Flags --clear-ssl-policy und --ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.
SSL-Richtlinien verwalten
Wenn Sie benutzerdefinierte Einschränkungen verwenden, um TLS-Funktionen zu beschränken, müssen Sie manuell prüfen, ob vorhandene SSL-Richtlinien, die an Ziel-SSL-Proxys und Ziel-HTTPS-Proxys angehängt sind, TLS-konform sind.
Mit den folgenden Beispielen können Sie SSL-Richtlinien finden und aktualisieren, die nicht Ihren Sicherheitsanforderungen entsprechen.
So finden Sie alle Projekte in Ihrer Organisation, die SSL-Richtlinienressourcen haben:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicyErsetzen Sie
ORGANIZATION_IDdurch die ID der Organisation, in der alle Projekte mit SSL-Richtlinienressourcen gesucht werden sollen.Verwenden Sie die Methode
sslPolicies.aggregatedList, um alle regionalen SSL-Richtlinien in einem Projekt aufzulisten, wobei der AbfrageparameterincludeAllScopesauftruefestgelegt ist. Verwenden Sie dann den Abfrageparameterfilter, um nach SSL-Richtlinien zu suchen, die nicht Ihren Sicherheitszielen entsprechen.Wenn Sie beispielsweise SSL-Richtlinien mit einer TLS-Version unter
1.2finden möchten, verwenden Sie den FilterminTlsVersion="TLS_1_0"oderminTlsVersion="TLS_1_1":curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Ersetzen Sie Folgendes:
PROJECT_ID: der Name der Projekt-IDYOUR_API_KEY: Ihr API-SchlüsselYOUR_ACCESS_TOKEN: Ihr Zugriffstoken
Informationen zum Abrufen Ihres API-Schlüssels finden Sie unter API-Schlüssel verwalten. Verwenden Sie die Methode
projects.serviceAccounts.generateAccessToken, um Ihr Zugriffstoken zu erhalten.Aktualisieren Sie dann die SSL-Richtlinien, die Ihre Mindestanforderung für TLS nicht erfüllen.
Mit dem folgenden Befehl können Sie eine regionale SSL-Richtlinie aktualisieren:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGIONErsetzen Sie Folgendes:
SSL_POLICY_NAME: Der Name der SSL-Richtlinie.REGION: die Region für die SSL-Richtlinie
Limits
Weitere Informationen finden Sie unter Zielproxys.
API-Referenz
Eine Beschreibung der Attribute und Methoden, die Sie für SSL-Richtlinien über die REST API nutzen können, finden Sie unter:
| Produkt | API-Dokumentation |
|---|---|
|
regionSslPolicies |
Referenz zur gcloud-Befehlszeile
Informationen zur Google Cloud CLI finden Sie hier:
-
- Regional:
--region=REGION
- Regional:
Nächste Schritte
- Informationen zu SSL-Richtlinien finden Sie unter SSL-Richtlinien für SSL- und TLS-Protokolle
- Weitere Informationen zu externen Application Load Balancern finden Sie unter Übersicht über externe Application Load Balancer.