Usar políticas de SSL para protocolos SSL e TLS

Console

Política de SSL regional

Para criar uma política de SSL regional com um perfil gerenciado pelo Google, siga estas etapas:

1. No Trusted Cloud console, acesse a página Políticas de SSL.

   Acessar políticas de SSL

2. Clique em Criar política.

3. Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.

4. Digite um Nome.

5. Selecione uma Região.

6. Selecione uma Versão mínima do TLS.

7. Em Perfil, selecione Compatível, Moderno ou Restrito. Os Recursos ativados e Recursos desativados do perfil são exibidos no lado direito da página.

8. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se necessário, adicione mais destinos.

9. Clique em Criar.

gcloud

Política de SSL regional

Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil gerenciado pelo Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

O comando a seguir cria uma política de SSL regional com o perfil COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Console

Política de SSL regional

Para criar uma política de SSL regional com um perfil personalizado, siga estas etapas:

1. No Trusted Cloud console, acesse a página Políticas de SSL.

   Acessar políticas de SSL

2. Clique em Criar política.

3. Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.

4. Digite um Nome.

5. Selecione uma Região.

6. Selecione uma Versão mínima do TLS.

7. Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados no lado direito da página.

8. Na lista de Recursos, selecione cada pacote de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados.

9. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se necessário, adicione mais destinos.

10. Clique em Criar.

gcloud

Quando você cria uma política de SSL com o perfil CUSTOM, somente os recursos especificados no comando create são aceitos. Outros recursos não são.

Política de SSL regional

Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil personalizado:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

O exemplo a seguir cria uma política de SSL regional com o perfil CUSTOM com uma versão de TLS mínima 1.2 e os recursos TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Console

No Trusted Cloud console, acesse a página Políticas de SSL.

Acessar políticas de SSL

É possível ver uma lista de todas as políticas de SSL disponíveis. O campo Escopo indica se a política de SSL é global ou regional.

gcloud

Para listar apenas políticas de SSL regionais, execute:

  gcloud compute ssl-policies list --regions REGION

Console

1. No Trusted Cloud console, acesse a página Políticas de SSL.

   Acessar políticas de SSL

2. Clique no nome da política que contém os recursos que você quer ver. Os conjuntos de criptografia ativados e desativados são listados no lado direito da página.

gcloud

Para listar os recursos disponíveis nas políticas de SSL regionais:

gcloud compute ssl-policies list-available-features \
    --region REGION

Console

Para modificar regional, faça o seguinte:

1. No Trusted Cloud console, acesse a página Políticas de SSL.

   Acessar políticas de SSL

2. Clique no nome da política que você quer modificar.

3. Clique em Editar.

4. Faça as alterações que quiser.

5. Clique em Salvar.

gcloud

Para modificar uma política de SSL existente, passe qualquer uma ou todas as sinalizações correspondentes aos campos que você quer atualizar. Os campos não especificados não são atualizados.

Se você atualizar os recursos, os que estavam ativados antes serão excluídos e substituídos pelos novos especificados.

Políticas de SSL regional

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Console

É possível criar um proxy de destino usando o console Trusted Cloud ao criar ou atualizar o balanceador de carga, conforme mostrado nos documentos a seguir:

• Configurar um balanceador de carga de aplicativo externo regional
• Configurar um balanceador de carga de aplicativo interno regional

gcloud

Para criar um proxy HTTPS de destino regional com uma política de SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Console

gcloud

Use estes comandos para anexar uma política de SSL a um proxy HTTPS.

• Para encontrar todos os projetos da organização que têm proxies HTTPS de destino:

  gcloud asset search-all-resources \
      --scope=organizations/ORGANIZATION_ID \
      --asset-types=compute.googleapis.com/TargetHttpsProxy
  

• Para listar todos os proxies HTTPS de destino regionais em um projeto, use o método targetHttpsProxies.aggregatedList com o parâmetro de consulta includeAllScopes definido como true. Em seguida, use o parâmetro de consulta filter para pesquisar proxies HTTPS de destino que não têm referência a uma política de SSL.

  curl \
      'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
      --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
      --header 'Accept: application/json' \
      --compressed
  

• Para anexar uma política de SSL regional a um proxy HTTPS de destino regional:

  gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
      --ssl-policy SSL_POLICY_NAME \
      --region REGION
  

Se você não fornecer as flags --ssl-policy ou --clear-ssl-policy em uma atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --clear-ssl-policy é descrita em Excluir uma política de SSL de um proxy de destino.

API

Para definir uma política de SSL regional para um proxy de destino regional, use o método regionTargetHttpsProxies.patch.

Console

gcloud

Use estes comandos para remover uma política de SSL de um proxy HTTPS. Se você não anexar uma política de SSL diferente ao proxy de destino, o balanceador de carga usará a política de SSL padrão. Usar a flag --clear-ssl-policy equivale a substituir uma política de SSL pela política SSL padrão.

Para remover uma política de SSL regional de um proxy HTTPS de destino regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Quando você fornece a sinalização --clear-ssl-policy no comando update, a política de SSL é removida do proxy.

Se você não fornecer a flag --clear-ssl-policy ou --ssl-policy na atualização do proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --ssl-policy é descrita em Anexar uma política de SSL existente a um proxy de destino existente.