SSL 政策會指定最低 TLS 版本和一組 TLS 功能,Cloud Load Balancing 會在與用戶端進行 SSL 通訊時使用這些功能。在本文件中,「SSL」SSL一詞指的是 SSL 和 TLS 通訊協定。
下列負載平衡器支援 SSL 政策:
- 區域性 SSL 政策
- 區域性外部應用程式負載平衡器
- 區域性內部應用程式負載平衡器
如要進一步瞭解 SSL 政策的運作方式,請參閱安全資料傳輸層 (SSL) 和傳輸層安全標準 (TLS) 通訊協定的 SSL 政策。
建立 HTTPS 或 SSL 負載平衡器時,或是在建立負載平衡器後,都可以使用 Cloud de Confiance 控制台或 Google Cloud CLI 建立及管理 SSL 政策。
建立 SSL 政策
您可以使用預先定義的設定檔或自訂設定檔建立 SSL 政策。
使用預先定義的設定檔建立 SSL 政策
控制台
區域性 SSL 政策
如要使用預先定義的設定檔建立區域性 SSL 政策,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立區域性 SSL 政策,請點選旁邊的「建立」按鈕,系統會顯示「建立政策」頁面。
輸入名稱。
在「區域」部分,選取區域。
為「最低 TLS 版本」選取值。
將「Profile」(設定檔) 設為「Compatible」(相容)、「Modern」(新型)、「Restricted」(受限) 或「FIPS_202205」。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
系統會顯示該設定檔的「Enabled features」(已啟用的功能) 和「Disabled features」(已停用的功能)。
- 使用
如要使用後量子金鑰交換,請選取「預設」、「已啟用」或「延遲」。如要進一步瞭解不同模式,請參閱後量子金鑰交換模式。
如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
gcloud
區域性 SSL 政策
以下是使用預先定義的設定檔建立區域性 SSL 政策的一般語法。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--region REGION \
--post-quantum-key-exchange MODE
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能。REGION:SSL 政策的區域。MODE:您可以將後量子金鑰交換模式設為ENABLED、DEFAULT或DEFERRED。如要進一步瞭解不同模式,請參閱後量子金鑰交換模式。
使用自訂設定檔建立 SSL 政策
控制台
區域性 SSL 政策
如要使用自訂設定檔建立區域性 SSL 政策,請執行下列動作:
前往 Cloud de Confiance 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立區域性 SSL 政策,請點選旁邊的「建立」按鈕,系統會顯示「建立政策」頁面。
輸入名稱。
在「區域」部分,選取區域。
為「最低 TLS 版本」選取值。
將「Profile」(設定檔) 設為「Custom」(自訂)。 所有功能都會顯示為「Disabled features」(已停用的功能)。
如要使用後量子金鑰交換,請選取「預設」、「已啟用」或「延遲」。如要進一步瞭解不同模式,請參閱後量子金鑰交換模式。
在「Features」(功能) 清單中,選取想要啟用的加密套件。您啟用的加密套件會列入「Enabled features」(已啟用的功能)。如要進一步瞭解使用
CUSTOM設定檔時可選取的不同加密套件,請參閱「TLS 1.2 以下版本的加密套件」。如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
gcloud
當您使用 CUSTOM 設定檔建立 SSL 政策時,僅會支援在 create 指令中指定的功能,其他功能則不支援。
區域性 SSL 政策
以下是使用自訂設定檔建立區域性 SSL 政策的一般語法:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION \
--post-quantum-key-exchange MODE
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能SSL_FEATURE_1 | 2 | 3:使用CUSTOM設定檔時可選取的不同密碼套件。詳情請參閱「傳輸層安全標準 (TLS) 1.2 以下版本的加密套件」。REGION:要套用 SSL 政策的區域MODE:您可以將後量子金鑰交換模式設為ENABLED、DEFAULT或DEFERRED。如要進一步瞭解不同模式,請參閱後量子金鑰交換模式。
列出 SSL 政策
控制台
前往 Cloud de Confiance 控制台的「SSL policies」(SSL 政策) 頁面。
您可以查看所有可用的 SSL 政策清單。「範圍」欄位會指出 SSL 政策是全域或區域性。
gcloud
只列出區域性 SSL 政策:
gcloud compute ssl-policies list --regions REGION
將 REGION 替換為要套用 SSL 政策的區域。
列出 SSL 政策中可用的功能
控制台
前往 Cloud de Confiance 控制台的「SSL policies」(SSL 政策) 頁面。
按一下要查看功能的政策名稱。 系統會列出已啟用和已停用的加密套件。
gcloud
列出區域性 SSL 政策可用的功能:
gcloud compute ssl-policies list-available-features \
--region REGION
將 REGION 替換為要列出功能的 SSL 政策所屬區域。
修改 SSL 政策
控制台
如要修改 區域性 SSL 政策,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「SSL policies」(SSL 政策) 頁面。
按一下要修改的政策名稱。
按一下 [編輯]。
視需要加以變更。
按一下 [儲存]。
gcloud
如果要修改現有的 SSL 政策,請傳遞對應到欲更新欄位的任何旗標 (或全部的旗標)。不會更新未指定的欄位。
若您更新功能,會刪除先前已啟用的功能,取代為您指定的新功能。
區域性 SSL 政策
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--custom-features FEATURES \
--region REGION \
--post-quantum-key-exchange MODE
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能FEATURES:使用CUSTOM設定檔時可選取的不同密碼套件。詳情請參閱「傳輸層安全標準 (TLS) 1.2 以下版本的加密套件」。REGION:要更新功能的 SSL 政策區域MODE:您可以將後量子金鑰交換模式設為ENABLED、DEFAULT或DEFERRED。如要進一步瞭解不同模式,請參閱後量子金鑰交換模式。
使用 SSL 政策建立目標 Proxy
控制台
建立或更新負載平衡器時,可以使用 Cloud de Confiance 控制台建立目標 Proxy,如下列文件所示:
gcloud
如要使用區域性 SSL 政策建立區域性目標 HTTPS Proxy,請按照下列步驟操作:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
--ssl-certificates SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--url-map-region MAP_REGION \
--ssl-policy SSL_POLICY_NAME \
--region REGION
更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_CERTIFICATE_NAME:傳輸層安全標準 (TLS) 憑證的名稱URL_MAP_NAME:網址對應的名稱MAP_REGION:網址對應表所在的 Cloud de Confiance區域名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能REGION:要用來建立目標 HTTPS Proxy 的 SSL 政策區域
將現有的 SSL 政策附加至現有的目標 Proxy
控制台
您無法在 Cloud de Confiance 控制台中修改目標 Proxy,請改用 gcloud CLI 或 API。
gcloud
使用下列指令將現有的 SSL 政策附加至 HTTPS Proxy。
如要找出貴機構中具有目標 HTTPS 代理的所有專案,請執行下列操作:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxy將
ORGANIZATION_ID替換為要尋找目標 HTTPS Proxy 的機構 ID。
如要列出專案中的所有 區域目標 HTTPS Proxy,請使用
targetHttpsProxies.aggregatedList方法,並將includeAllScopes查詢參數設為true。接著,使用filter查詢參數搜尋未參照 SSL 政策的目標 HTTPS Proxy。curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要將現有的區域性 SSL 政策附加至區域性目標 HTTPS Proxy,請執行下列步驟:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGION更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能REGION:要附加至區域目標 HTTPS Proxy 的 SSL 政策區域
如果您未在目標 Proxy 更新時 (例如:更新 SSL 憑證時) 提供 --ssl-policy 旗標或 --clear-ssl-policy 旗標,SSL 政策就會維持不變。如需 --clear-ssl-policy 旗標的說明,請參閱「從目標 Proxy 刪除 SSL 政策」。
API
如要為區域目標 Proxy 設定區域性 SSL 政策,請使用 regionTargetHttpsProxies.patch 方法。
從目標 Proxy 刪除 SSL 政策
控制台
您無法在 Cloud de Confiance 控制台中修改目標 Proxy,請改用 gcloud CLI 或 API。
gcloud
使用下列指令,從 HTTPS Proxy 移除 SSL 政策。如果未將其他 SSL 政策附加至目標 Proxy,負載平衡器會使用預設的 SSL 政策。使用 --clear-ssl-policy 旗標,就等同於使用預設的 SSL 政策取代現有的 SSL 政策。
如要從地區目標 HTTPS Proxy 移除地區 SSL 政策,請執行下列步驟:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱REGION:要附加至區域目標 HTTPS Proxy 的 SSL 政策區域
在更新指令中提供 --clear-ssl-policy 旗標時,會從 Proxy 移除 SSL 政策。
如果未在目標 Proxy 更新時 (例如:更新 SSL 憑證時) 提供 --clear-ssl-policy 旗標或 --ssl-policy 旗標,SSL 政策就會維持不變。如需 --ssl-policy 旗標的說明,請參閱「將現有的 SSL 政策附加至現有的目標 Proxy」。
管理 SSL 政策
如果您使用自訂限制來限制 TLS 功能,請手動檢查附加至目標 SSL Proxy 和目標 HTTPS Proxy 的現有 SSL 政策是否符合 TLS 規定。
請按照下列範例步驟,找出並更新不符合安全目標的 SSL 政策。
如要找出機構中所有含有 SSL 政策資源的專案,請按照下列步驟操作:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicy將
ORGANIZATION_ID替換為要尋找所有含有 SSL 政策資源的專案所屬機構的 ID。如要列出專案中的所有 區域 SSL 政策,請使用
sslPolicies.aggregatedList方法,並將includeAllScopes查詢參數設為true。接著,使用filter查詢參數搜尋不符合安全目標的 SSL 政策。舉例來說,如要找出 TLS 版本低於
1.2的 SSL 政策,請使用篩選器minTlsVersion="TLS_1_0"或minTlsVersion="TLS_1_1":curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要取得 API 金鑰,請參閱「管理 API 金鑰」。如要取得存取權杖,請使用
projects.serviceAccounts.generateAccessToken方法。然後更新不符合最低 TLS 要求的 SSL 政策。
如要更新區域 SSL 政策,可以使用下列指令:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGION更改下列內容:
SSL_POLICY_NAME:SSL 政策的名稱REGION:SSL 政策的區域
限制
請參閱「目標 Proxy」。
API 參考資料
如需透過 REST API 使用 SSL 政策時可用的屬性和方法說明,請參閱下列內容:
| 產品 | API 說明文件 |
|---|---|
|
regionSslPolicies |
gcloud CLI 參考資料
如需 Google Cloud CLI 參考資料,請參閱下列內容:
-
- 地區性:
--region=REGION
- 地區性:
後續步驟
- 如需 SSL 政策的概念資訊,請參閱安全資料傳輸層 (SSL) 和傳輸層安全 (TLS) 通訊協定的 SSL 政策。
- 如要瞭解外部應用程式負載平衡器,請參閱「外部應用程式負載平衡器總覽」。