שימוש במדיניות SSL

המסוף

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל מוגדר מראש:

1. נכנסים לדף SSL policies במסוף Cloud de Confiance .

   מעבר למדיניות SSL

2. לוחצים על יצירת מדיניות.

3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

4. מזינים שם.

5. בשדה Region, בוחרים אזור.

6. בוחרים ערך בשדה גרסת TLS מינימלית.

7. בקטע פרופיל, בוחרים באפשרות תואם, מודרני, מוגבל או FIPS_202205.

   • במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
   • אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

   מוצגות התכונות המופעלות והתכונות המושבתות בפרופיל.

8. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על החלה על יעדים ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

9. לוחצים על יצירה.

gcloud

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מוגדר מראש:

• במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
• אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
• ‫REGION: האזור של מדיניות ה-SSL

הפקודה הבאה יוצרת מדיניות SSL אזורית עם פרופיל COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

המסוף

מדיניות SSL אזורית

כדי ליצור מדיניות SSL אזורית עם פרופיל בהתאמה אישית:

1. נכנסים לדף SSL policies במסוף Cloud de Confiance .

   מעבר למדיניות SSL

2. לוחצים על יצירת מדיניות.

3. בקטע Regional SSL policy (מדיניות SSL אזורית), לוחצים על הלחצן Create (יצירה) שלידו. יופיע הדף Create policy.

4. מזינים שם.

5. בשדה Region, בוחרים אזור.

6. בוחרים ערך בשדה גרסת TLS מינימלית.

7. בשדה פרופיל, בוחרים באפשרות בהתאמה אישית. כל התכונות מוצגות כתכונות מושבתות.

8. ברשימת התכונות, בוחרים כל סט אלגוריתמים להצפנה שרוצים להפעיל. חבילות ההצפנה שאתם מפעילים מופיעות בתכונות מופעלות.

9. אם יש מאזן עומסים שרוצים לצרף אליו את המדיניות, לוחצים על Apply to targets (החלה על יעדים) ובוחרים כלל העברה כיעד של מדיניות ה-SSL. אם צריך, מוסיפים עוד יעדים.

10. לוחצים על יצירה.

gcloud

כשיוצרים מדיניות SSL עם פרופיל CUSTOM, רק התכונות שמציינים בפקודה create נתמכות. אין תמיכה בתכונות אחרות.

מדיניות SSL אזורית

התחביר הכללי ליצירת מדיניות SSL אזורית עם פרופיל מותאם אישית:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
• ‫SSL_FEATURE_1 | 2 | 3: התכונות המותאמות אישית שרוצים להחיל
• ‫REGION: האזור שבו רוצים להחיל את מדיניות ה-SSL

בדוגמה הבאה נוצרת מדיניות SSL אזורית שמשתמשת בפרופיל CUSTOM עם גרסת TLS מינימלית של 1.2 וכוללת את התכונות TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ו-TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

המסוף

נכנסים לדף SSL policies במסוף Cloud de Confiance .

מעבר למדיניות SSL

תוכלו לראות רשימה של כל כללי מדיניות ה-SSL הזמינים. בשדה היקף מצוין אם מדיניות ה-SSL היא גלובלית או אזורית.

gcloud

כדי להציג רק מדיניות SSL אזורית:

gcloud compute ssl-policies list --regions REGION

מחליפים את REGION באזור שבו רוצים להחיל את מדיניות ה-SSL.

המסוף

1. נכנסים לדף SSL policies במסוף Cloud de Confiance .

   מעבר למדיניות SSL

2. לוחצים על שם המדיניות שרוצים לראות את התכונות שלה. מוצגות רשימות של סטים של אלגוריתמים להצפנה שמופעלים ומושבתים.

gcloud

רשימת התכונות שזמינות במדיניות SSL אזורית:

gcloud compute ssl-policies list-available-features \
    --region REGION

מחליפים את REGION באזור של מדיניות ה-SSL שרוצים לראות את התכונות שלה.

המסוף

כדי לשנות אזורית:

1. נכנסים לדף SSL policies במסוף Cloud de Confiance .

   מעבר למדיניות SSL

2. לוחצים על שם המדיניות שרוצים לשנות.

3. לוחצים על Edit.

4. מבצעים את השינויים הרצויים.

5. לוחצים על Save.

gcloud

כדי לשנות מדיניות SSL קיימת, מעבירים את כל הדגלים או חלק מהם שמתאימים לשדות שרוצים לעדכן. שדות שלא צוינו לא מתעדכנים.

אם מעדכנים את התכונות, התכונות שהופעלו בעבר נמחקות ומוחלפות בתכונות החדשות שצוינו.

מדיניות SSL אזורית

• במדיניות SSL שמשתמשת בפרופיל FIPS_202205 חייבים להשתמש בגרסת TLS מינימלית של 1.2.
• אם מגדירים את גרסת ה-TLS המינימלית של מדיניות SSL ל-1.3, המדיניות חייבת להשתמש בפרופיל RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    [--custom-features FEATURES \]
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
• ‫FEATURES: התכונות שרוצים להחיל על מדיניות ה-SSL
• ‫REGION: האזור של מדיניות ה-SSL שרוצים לעדכן את התכונות שלה

המסוף

אפשר ליצור שרת proxy ליעד באמצעות מסוף Cloud de Confiance כשיוצרים או מעדכנים את מאזן העומסים, כמו שמוסבר במסמכים הבאים:

• הגדרת מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
• הגדרה של מאזן עומסים פנימי אזורי של אפליקציות (ALB)

gcloud

כדי ליצור שרת proxy אזורי של HTTPS ביעד עם מדיניות SSL אזורית:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy ליעד
• ‫SSL_CERTIFICATE_NAME: השם של אישור ה-TLS
• ‫URL_MAP_NAME: השם של מפת URL
• ‫MAP_REGION: השם של האזור שבו ממוקמת מפת ה-URL Cloud de Confiance
• ‫SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את היכולות של TLS שמאזן העומסים משתמש בהן כשמתנהל משא ומתן על חיבורים עם לקוחות
• ‫REGION: האזור של מדיניות ה-SSL שרוצים ליצור איתה את ה-proxy ל-HTTPS עם יעד

המסוף

אי אפשר לשנות את שרתי ה-proxy של היעד במסוף Cloud de Confiance . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי לצרף מדיניות SSL קיימת ל שרת proxy של HTTPS.

• כדי למצוא את כל הפרויקטים בארגון שיש בהם שרתי proxy של HTTPS:

  gcloud asset search-all-resources \
      --scope=organizations/ORGANIZATION_ID \
      --asset-types=compute.googleapis.com/TargetHttpsProxy
  

  מחליפים את ORGANIZATION_ID במזהה הארגון שבו רוצים למצוא את שרתי ה-proxy של HTTPS.

• כדי לראות את רשימת כל שרתי ה-proxy של HTTPS ביעד (גלובליים ואזוריים) בפרויקט, משתמשים בשיטה targetHttpsProxies.aggregatedList כשפרמטר השאילתה includeAllScopes מוגדר ל-true. לאחר מכן, משתמשים בפרמטר filterquery כדי לחפש שרתי proxy של HTTPS לטירגוט שלא מפנים למדיניות SSL.

  curl \
      'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
      --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
      --header 'Accept: application/json' \
      --compressed
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫PROJECT_ID: השם של מזהה הפרויקט
  • ‫YOUR_API_KEY: מפתח ה-API
  • ‫YOUR_ACCESS_TOKEN: טוקן הגישה שלכם

• כדי לצרף מדיניות SSL אזורית קיימת לשרת proxy אזורי של HTTPS ביעד:

  gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
      --ssl-policy SSL_POLICY_NAME \
      --region REGION
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
  • ‫SSL_POLICY_NAME: השם שהקציתם למדיניות ה-SSL שמגדירה את יכולות ה-TLS שמאזן העומסים משתמש בהן כשמנהלים משא ומתן על חיבורים עם לקוחות
  • ‫REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

אם לא מספקים את האפשרות --ssl-policy או את האפשרות --clear-ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --clear-ssl-policy מתואר במאמר מחיקת מדיניות SSL משרת proxy ליעד.

API

כדי להגדיר מדיניות SSL אזורית לשרת proxy אזורי ליעד, משתמשים ב-method ‏regionTargetHttpsProxies.patch.

המסוף

אי אפשר לשנות את שרתי ה-proxy של היעד במסוף Cloud de Confiance . במקום זאת, אפשר להשתמש ב-CLI של gcloud או ב-API.

gcloud

אפשר להשתמש בפקודות האלה כדי להסיר מדיניות SSL מ שרת proxy של HTTPS. אם לא מצרפים מדיניות SSL אחרת לשרת ה-proxy של היעד, מאזן העומסים משתמש במדיניות ה-SSL שמוגדרת כברירת מחדל. השימוש בדגל --clear-ssl-policy שקול להחלפת מדיניות SSL במדיניות SSL שמוגדרת כברירת מחדל.

כדי להסיר מדיניות SSL אזורית משרת proxy אזורי של HTTPS ביעד:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫REGIONAL_TARGET_HTTPS_PROXY_NAME: השם של שרת ה-proxy של היעד
• ‫REGION: האזור של מדיניות ה-SSL שרוצים לצרף לשרת ה-proxy ל-HTTPS עם יעד אזורי

כשמספקים את הדגל --clear-ssl-policy בפקודת העדכון, מדיניות ה-SSL מוסרת מהפרוקסי.

אם לא מספקים את האפשרות --clear-ssl-policy או את האפשרות --ssl-policy בעדכון של שרת proxy ליעד (לדוגמה, כשמעדכנים אישור SSL), מדיניות ה-SSL לא משתנה. הדגל --ssl-policy מתואר במאמר צירוף מדיניות SSL קיימת לשרת proxy יעד קיים.