Menggunakan kebijakan SSL untuk protokol SSL dan TLS

Konsol

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil yang dikelola Google, lakukan langkah-langkah berikut:

1. Di Trusted Cloud console, buka halaman SSL policies.

   Buka kebijakan SSL

2. Klik Create policy.

3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

4. Masukkan Nama.

5. Pilih Region.

6. Pilih Minimum TLS Version.

7. Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.

8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

9. Klik Create.

gcloud

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang dikelola Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Perintah berikut akan membuat kebijakan SSL regional dengan profil COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Konsol

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:

1. Di Trusted Cloud console, buka halaman SSL policies.

   Buka kebijakan SSL

2. Klik Create policy.

3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

4. Masukkan Nama.

5. Pilih Region.

6. Pilih Minimum TLS Version.

7. Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sebelah kanan halaman.

8. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Paket cipher yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.

9. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

10. Klik Create.

gcloud

Saat Anda membuat kebijakan SSL dengan profil CUSTOM, hanya fitur yang Anda tentukan dalam perintah create yang didukung. Fitur lainnya tidak didukung.

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Contoh berikut membuat kebijakan SSL regional dengan profil CUSTOM dengan versi TLS minimum 1.2 dan fitur TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Konsol

Di Trusted Cloud console, buka halaman SSL policies.

Buka kebijakan SSL

Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Cakupan menunjukkan apakah kebijakan SSL bersifat global atau regional.

gcloud

Untuk hanya mencantumkan kebijakan SSL regional, jalankan:

  gcloud compute ssl-policies list --regions REGION

Konsol

1. Di Trusted Cloud console, buka halaman SSL policies.

   Buka kebijakan SSL

2. Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan dicantumkan di sisi kanan halaman.

gcloud

Untuk mencantumkan fitur yang tersedia di kebijakan SSL regional:

gcloud compute ssl-policies list-available-features \
    --region REGION

Konsol

Untuk mengubah regional, lakukan tindakan berikut:

1. Di Trusted Cloud console, buka halaman SSL policies.

   Buka kebijakan SSL

2. Klik nama kebijakan yang ingin Anda ubah.

3. Klik Edit.

4. Buat perubahan yang Anda inginkan.

5. Klik Simpan.

gcloud

Untuk mengubah kebijakan SSL yang ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin Anda perbarui. Kolom yang tidak ditentukan tidak akan diperbarui.

Jika Anda mengupdate fitur, fitur yang sebelumnya diaktifkan akan dihapus dan diganti dengan fitur baru yang Anda tentukan.

Kebijakan SSL regional

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Konsol

Anda dapat membuat proxy target menggunakan Trusted Cloud console saat membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:

• Menyiapkan Load Balancer Aplikasi eksternal regional
• Menyiapkan Load Balancer Aplikasi internal regional

gcloud

Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Konsol

gcloud

Gunakan perintah ini untuk melampirkan kebijakan SSL yang ada ke proxy HTTPS.

• Untuk menemukan semua project di organisasi Anda yang memiliki proxy HTTPS target:

  gcloud asset search-all-resources \
      --scope=organizations/ORGANIZATION_ID \
      --asset-types=compute.googleapis.com/TargetHttpsProxy
  

• Untuk mencantumkan semua proxy HTTPS target regional dalam project, gunakan metode targetHttpsProxies.aggregatedList dengan parameter kueri includeAllScopes ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy HTTPS target yang tidak mereferensikan kebijakan SSL.

  curl \
      'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
      --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
      --header 'Accept: application/json' \
      --compressed
  

• Untuk melampirkan kebijakan SSL regional yang ada ke proxy HTTPS target regional:

  gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
      --ssl-policy SSL_POLICY_NAME \
      --region REGION
  

Jika Anda tidak memberikan tanda --ssl-policy atau tanda --clear-ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy dijelaskan di Menghapus kebijakan SSL dari proxy target.

API

Untuk menetapkan kebijakan SSL regional bagi proxy target regional, gunakan metode regionTargetHttpsProxies.patch.

Konsol

gcloud

Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy HTTPS. Jika Anda tidak melampirkan kebijakan SSL yang berbeda ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.

Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Saat Anda memberikan tanda --clear-ssl-policy dalam perintah update, kebijakan SSL akan dihapus dari proxy.

Jika Anda tidak memberikan tanda --clear-ssl-policy atau tanda --ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --ssl-policy dijelaskan dalam Melampirkan kebijakan SSL yang ada ke proxy target yang ada.