Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar políticas de SSL

As políticas de SSL especificam uma versão mínima do TLS e um conjunto de recursos que o Cloud Load Balancing usa ao negociar SSL com clientes. Neste documento, o termo SSL se refere aos protocolos SSL e TLS.

As políticas de SSL são compatíveis com os seguintes balanceadores de carga:

Políticas de SSL regional
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional

Para mais informações sobre como as políticas de SSL funcionam, consulte Políticas de SSL para protocolos SSL e TLS.

Crie e gerencie políticas de SSL usando o console Cloud de Confiance ou a Google Cloud CLI ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento depois de criar o balanceador de carga.

Criar políticas de SSL

É possível criar políticas de SSL com perfis predefinidos ou personalizados.

Criar uma política de SSL com um perfil predefinido

Console

Política de SSL regional

Para criar uma política de SSL regional com um perfil predefinido, siga estas etapas:

No console do Cloud de Confiance , acesse a página Políticas de SSL.

Acessar políticas de SSL
Clique em Criar política.
Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.
Insira um nome.
Em Região, selecione uma região.
Em Versão mínima de TLS, selecione um valor.
Em Perfil, selecione Compatível, Moderno, Restrito ou FIPS_202205.
- As políticas de SSL que usam o perfil FIPS_202205 precisam usar uma versão mínima de TLS 1.2.
- Se você definir a versão mínima do TLS de uma política de SSL como 1.3, a política precisará usar o perfil RESTRICTED.
Os Recursos ativados e Recursos desativados do perfil são exibidos.
Para Troca de chaves pós-quântica, selecione Padrão, Ativado ou Adiado. Para saber mais sobre os diferentes modos, consulte Modos de troca de chaves pós-quântica.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se necessário, adicione mais destinos.
Clique em Criar.

gcloud

Política de SSL regional

Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil predefinido:

As políticas de SSL que usam o perfil FIPS_202205 precisam usar uma versão mínima de TLS 1.2.
Se você definir a versão mínima do TLS de uma política de SSL como 1.3, a política precisará usar o perfil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION \
    --post-quantum-key-exchange MODE

Substitua:

SSL_POLICY_NAME: o nome atribuído à política de SSL que define os recursos de TLS usados pelo balanceador de carga ao negociar conexões com clientes.
REGION: a região da política de SSL.
MODE: é possível definir o modo de troca de chaves pós-quântica como ENABLED, DEFAULT ou DEFERRED. Para saber mais sobre os diferentes modos, consulte modos de troca de chaves pós-quântica.

Criar uma política de SSL com um perfil personalizado

Console

Política de SSL regional

Para criar uma política de SSL regional com um perfil personalizado, siga estas etapas:

No console do Cloud de Confiance , acesse a página Políticas de SSL.

Acessar políticas de SSL
Clique em Criar política.
Em Política de SSL regional, clique no botão Criar ao seu lado. A página Criar política é exibida.
Insira um nome.
Em Região, selecione uma região.
Em Versão mínima de TLS, selecione um valor.
Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados.
Para Troca de chaves pós-quântica, selecione Padrão, Ativado ou Adiado. Para saber mais sobre os diferentes modos, consulte Modos de troca de chaves pós-quântica.
Na lista de Recursos, selecione cada pacote de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados. Para saber mais sobre os diferentes pacotes de criptografia que podem ser selecionados ao usar o perfil CUSTOM, consulte Pacotes de criptografia para TLS 1.2 e versões anteriores.
Se houver um balanceador de carga ao qual você quer anexar a política, clique em Aplicar aos destinos e selecione uma regra de encaminhamento como destino da política de SSL. Se necessário, adicione mais destinos.
Clique em Criar.

gcloud

Quando você cria uma política de SSL com o perfil CUSTOM, somente os recursos especificados no comando create são aceitos. Outros recursos não são compatíveis.

Política de SSL regional

Veja a seguir a sintaxe geral para criar uma política de SSL regional com um perfil personalizado:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION \
    --post-quantum-key-exchange MODE

Substitua:

SSL_POLICY_NAME: o nome atribuído à política de SSL que define os recursos de TLS usados pelo balanceador de carga ao negociar conexões com clientes.
SSL_FEATURE_1 | 2 | 3: os diferentes pacotes de criptografia que podem ser selecionados ao usar o perfil CUSTOM. Para saber mais, consulte Pacotes de criptografia para TLS 1.2 e versões anteriores.
REGION: a região em que a política de SSL será aplicada.
MODE: é possível definir o modo de troca de chaves pós-quântica como ENABLED, DEFAULT ou DEFERRED. Para saber mais sobre os diferentes modos, consulte modos de troca de chaves pós-quântica.

Listar políticas de SSL

Console

No console do Cloud de Confiance , acesse a página Políticas de SSL.

Acessar políticas de SSL

É possível ver uma lista de todas as políticas de SSL disponíveis. O campo Escopo indica se a política de SSL é global ou regional.

gcloud

Liste apenas políticas de SSL regionais:

gcloud compute ssl-policies list --regions REGION

Substitua REGION pela região em que a política de SSL será aplicada.

Listar recursos disponíveis em uma política de SSL

Console

No console do Cloud de Confiance , acesse a página Políticas de SSL.

Acessar políticas de SSL
Clique no nome da política que contém os recursos que você quer ver. Os conjuntos de criptografia ativados e desativados são listados.

gcloud

Liste os recursos disponíveis nas políticas de SSL regionais:

gcloud compute ssl-policies list-available-features \
    --region REGION

Substitua REGION pela região da política de SSL cujos recursos você quer listar.

Modificar políticas de SSL

Console

Para modificar regional, faça o seguinte:

No console do Cloud de Confiance , acesse a página Políticas de SSL.

Acessar políticas de SSL
Clique no nome da política que você quer modificar.
Clique em Editar.
Faça as alterações que quiser.
Clique em Salvar.

gcloud

Para modificar uma política de SSL existente, passe qualquer uma ou todas as sinalizações correspondentes aos campos que você quer atualizar. Os campos não especificados não são atualizados.

Se você atualizar os recursos, os que estavam ativados antes serão excluídos e substituídos pelos novos especificados.

Políticas de SSL regional

As políticas de SSL que usam o perfil FIPS_202205 precisam usar uma versão mínima de TLS 1.2.
Se você definir a versão mínima do TLS de uma política de SSL como 1.3, a política precisará usar o perfil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --region REGION \
    --post-quantum-key-exchange MODE

Substitua:

SSL_POLICY_NAME: o nome atribuído à política de SSL que define os recursos de TLS usados pelo balanceador de carga ao negociar conexões com clientes.
FEATURES: os diferentes pacotes de criptografia que podem ser selecionados ao usar o perfil CUSTOM. Para saber mais, consulte Pacotes de criptografia para TLS 1.2 e versões anteriores.
REGION: a região da política de SSL cujos recursos você quer atualizar.
MODE: é possível definir o modo de troca de chaves pós-quântica como ENABLED, DEFAULT ou DEFERRED. Para saber mais sobre os diferentes modos, consulte modos de troca de chaves pós-quântica.

Criar um proxy de destino com uma política de SSL

Console

É possível criar um proxy de destino usando o console do Cloud de Confiance ao criar ou atualizar o balanceador de carga, conforme mostrado nos documentos a seguir:

gcloud

Para criar um proxy HTTPS de destino regional com uma política de SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Substitua:

REGIONAL_TARGET_HTTPS_PROXY_NAME: o nome do proxy de destino
SSL_CERTIFICATE_NAME: o nome do certificado TLS
URL_MAP_NAME: o nome do mapa de URL.
MAP_REGION: o nome da região Cloud de Confianceem que o mapa de URL está localizado.
SSL_POLICY_NAME: o nome atribuído à política de SSL que define os recursos de TLS usados pelo balanceador de carga ao negociar conexões com clientes.
REGION: a região da política de SSL que você quer usar para criar o proxy HTTPS de destino.

Anexar uma política de SSL a um proxy de destino

Console

Não é possível modificar os proxies de destino no console do Cloud de Confiance . Use a CLI gcloud ou a API.

gcloud

Use estes comandos para anexar uma política de SSL a um proxy HTTPS.

Para encontrar todos os projetos da organização que têm proxies HTTPS de destino:
```
gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy
```
Substitua ORGANIZATION_ID pelo ID da organização em que encontrar os proxies HTTPS de destino.

Para listar todos os proxies HTTPS de destino regionais em um projeto, use o método targetHttpsProxies.aggregatedList com o parâmetro de consulta includeAllScopes definido como true. Em seguida, use o parâmetro de consulta filter para pesquisar proxies HTTPS de destino que não têm referência a uma política de SSL.
```
curl \
    'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed
```
Substitua:
- PROJECT_ID: o nome do ID do projeto
- YOUR_API_KEY: sua chave de API
- YOUR_ACCESS_TOKEN: seu token de acesso

Para anexar uma política de SSL regional a um proxy HTTPS de destino regional:
```
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION
```
Substitua:
- REGIONAL_TARGET_HTTPS_PROXY_NAME: o nome do proxy de destino
- SSL_POLICY_NAME: o nome atribuído à política de SSL que define os recursos de TLS usados pelo balanceador de carga ao negociar conexões com clientes.
- REGION: a região da política de SSL que você quer anexar ao proxy HTTPS de destino regional.

Se você não fornecer as flags --ssl-policy ou --clear-ssl-policy em uma atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --clear-ssl-policy é descrita em Excluir uma política de SSL de um proxy de destino.

API

Para definir uma política de SSL regional para um proxy de destino regional, use o método regionTargetHttpsProxies.patch.

Excluir uma política de SSL de um proxy de destino

Console

Não é possível modificar os proxies de destino no console do Cloud de Confiance . Use a CLI gcloud ou a API.

gcloud

Use estes comandos para remover uma política de SSL de um proxy HTTPS. Se você não anexar uma política de SSL diferente ao proxy de destino, o balanceador de carga usará a política de SSL padrão. Usar a flag --clear-ssl-policy equivale a substituir uma política de SSL pela política SSL padrão.

Para remover uma política de SSL regional de um proxy HTTPS de destino regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Substitua:

REGIONAL_TARGET_HTTPS_PROXY_NAME: o nome do proxy de destino
REGION: a região da política de SSL que você quer anexar ao proxy HTTPS de destino regional.

Quando você fornece a sinalização --clear-ssl-policy no comando update, a política de SSL é removida do proxy.

Se você não fornecer a flag --clear-ssl-policy ou --ssl-policy na atualização do proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A flag --ssl-policy é descrita em Anexar uma política de SSL existente a um proxy de destino existente.

Gerenciar políticas de SSL

Se você usa restrições personalizadas para restringir os recursos de TLS, verifique manualmente a conformidade com TLS em políticas de SSL preexistentes anexadas aos proxies SSL de destino e proxies HTTPS de destino.

Use as etapas de exemplo a seguir para encontrar e atualizar as políticas de SSL que não atendem às suas metas de segurança.

Para encontrar todos os projetos na organização que têm recursos de política de SSL:
```
gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy
```
Substitua ORGANIZATION_ID pelo ID da organização em que encontrar todos os projetos com recursos de política de SSL.
Para listar todas as políticas de SSL regionais em um projeto, use o método sslPolicies.aggregatedList com o parâmetro de consulta includeAllScopes definido como true. Em seguida, use o parâmetro de consulta filter para pesquisar políticas de SSL que não estejam alinhadas às suas metas de segurança.

Por exemplo, para encontrar políticas de SSL com a versão de TLS anterior a 1.2, use o filtro minTlsVersion="TLS_1_0" ou minTlsVersion="TLS_1_1":
```
curl \

  'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed
```
Substitua:
- PROJECT_ID: o nome do ID do projeto
- YOUR_API_KEY: sua chave de API
- YOUR_ACCESS_TOKEN: seu token de acesso
Para receber a chave de API, consulte Gerenciar chaves de API. Para receber o token de acesso, use o método projects.serviceAccounts.generateAccessToken.

Em seguida, atualize as políticas de SSL que não atendem ao requisito mínimo de TLS.

Para atualizar uma política regional de SSL, use o seguinte comando:
```
gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION
```
Substitua:
- SSL_POLICY_NAME: o nome da política de SSL
- REGION: a região da política de SSL.

Limites

Consulte Proxies de destino.

Referência da API

Para descrições das propriedades e dos métodos disponíveis ao trabalhar com políticas de SSL usando a API REST, consulte:

Produto	Documentação da API
Balanceador de carga de aplicativo externo regional Balanceador de carga de aplicativo interno regional	regionSslPolicies

Referência da CLI gcloud

Para a Google Cloud CLI, consulte:

gcloud compute ssl-policies
- Regional: --region=REGION

A seguir

Para informações conceituais sobre políticas de SSL, consulte Políticas de SSL para protocolos SSL e TLS.

Para informações sobre balanceadores de carga de aplicativo externos, consulte a visão geral nesta página.