הגדרת TLS מאומת בקצה העורפי

בדף הזה מוסבר איך להגדיר TLS מאומת בשרת העורפי, שנקרא גם אימות בשרת העורפי, באמצעות אישורים בניהול עצמי.

כדי להגדיר TLS מאומת בשרת העורפי, צריך לבצע את הפעולות הבאות. השלבים האלה מתוארים בקטעים הבאים של המסמך הזה.

יוצרים משאב של הגדרות אמון שמורכב מאישורים של בסיס ואישורי ביניים.
יוצרים משאב של הגדרות אימות לשרת העורפי שמפנה להגדרות האמון.
מצרפים את משאב התצורה של אימות הקצה העורפי לשירות הקצה העורפי של מאזן העומסים.

לפני שמתחילים

בודקים את הסקירה הכללית על TLS מאומת בקצה העורפי ו-mTLS בקצה העורפי.
כדאי לעיין במאמר בנושא ניהול הגדרות של הרשאות שיתוף.
אם רוצים לפעול לפי ההוראות במדריך הזה באמצעות Google Cloud CLI, צריך להתקין אותו. אפשר למצוא פקודות שקשורות לאיזון עומסים בהפניות ל-API ול-CLI של gcloud.

אם לא הפעלתם את ה-CLI של gcloud בעבר, אתם צריכים קודם להריץ את הפקודה gcloud init כדי לבצע אימות.
מפעילים את ממשקי ה-API הבאים: Compute Engine API,‏ Certificate Manager API,‏ Network Security ו-Network Services API. מידע נוסף מופיע במאמר הפעלה של ממשקי API.
מגדירים מאזן עומסים עם אחד מהקצוות העורפיים הנתמכים הבאים:
- קצוות עורפיים של קבוצת מכונות וירטואליות
- קבוצות של נקודות קצה ברשת (NEGs) לקישוריות היברידית
- קבוצות אזוריות של נקודות קצה של רשתות

הרשאות

בקטע הזה מפורטות ההרשאות שנדרשות כדי להגדיר TLS מאומת בשרת העורפי.

פעולה	הרשאה
יצירת הגדרת אמון	‫`certificatemanager.trustconfigs.create` בפרויקט היעד Google Cloud
יצירת משאב של הגדרות אימות לשרת העורפי	‫`certificatemanager.certs.use` באישור היעד ‫`certificatemanager.trustconfigs.use` בהגדרות של יחסי האמון של היעד ‫`networksecurity.backendauthenticationconfigs.create` בפרויקט היעד Google Cloud
צירוף משאב של הגדרת אימות לקצה העורפי אל השירות לקצה העורפי של מאזן העומסים	`compute.backendservice.update` בשירות הקצה העורפי של היעד ‫`networksecurity.backendauthenticationconfigs.use` במשאב ההגדרות של אימות ה-Backend של היעד

סקירה כללית של ההגדרה

בקטעים הבאים מפורטים השלבים להגדרת TLS מאומת בבק-אנד על סמך הארכיטקטורה שמוצגת בדיאגרמה הבאה.

רכיבים של TLS מאומת בשרת העורפי. — רכיבי TLS מאומתים של קצה עורפי (לוחצים כדי להגדיל).

יצירת אישורי הבסיס ואישורי הביניים

בקטע הזה נעשה שימוש בספריית OpenSSL כדי ליצור את אישור הבסיס (נקודת אמון) ואת אישור הביניים.

אישור בסיס נמצא בראש שרשרת האישורים. אישור ביניים הוא חלק משרשרת המהימנות שמובילה לאישור הבסיס. אישור הביניים נחתם באופן מוצפן על ידי אישור הבסיס. כשמאזן העומסים מקבל אישור שרת, הוא מאמת אותו על ידי יצירת שרשרת אמינות מאישור השרת בחזרה לישות העוגן האמינה שהוגדרה.

כדי ליצור את אישורי הבסיס והביניים, משתמשים בפקודות הבאות.

יוצרים קובץ תצורה של OpenSSL.

בדוגמה הבאה, קובץ התצורה (example.cnf) מכיל את הקטע [ca_exts], שמציין תוספים מסוג X.509 שמסמנים את האישור כמתאים לרשות שמנפיקה את האישורים (CA). מידע נוסף על הדרישות לגבי אישורי בסיס ואישורי ביניים זמין במאמר דרישות האישורים.
```
cat > example.cnf << EOF
[req]
distinguished_name = empty_distinguished_name

[empty_distinguished_name]
# Kept empty to allow setting via -subj command-line argument.

[ca_exts]
basicConstraints=critical,CA:TRUE
keyUsage=keyCertSign
extendedKeyUsage=serverAuth

EOF
```

יוצרים אישור בסיס X.509 בחתימה עצמית (root.cert). אישור הבסיס הוא בחתימה עצמית עם המפתח הפרטי שלו (root.key).

openssl req -x509 \
    -new -sha256 -newkey rsa:2048 -nodes \
    -days 3650 -subj '/CN=root' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout root.key -out root.cert

יוצרים את בקשת החתימה על האישור (CSR) int.req לאישור הביניים.

openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -subj '/CN=int' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout int.key -out int.req

חותמים על ה-CSR כדי ליצור את אישור הביניים X.509 ‏ (int.cert). ה-CSR נחתם באמצעות אישור הבסיס.

openssl x509 -req \
    -CAkey root.key -CA root.cert \
    -set_serial 1 \
    -days 3650 \
    -extfile example.cnf \
    -extensions ca_exts \
    -in int.req -out int.cert

עיצוב האישורים

כדי לכלול אישורים חדשים או קיימים במאגר אישורים, צריך לעצב את האישורים בשורה אחת ולאחסן אותם במשתני סביבה, כדי שאפשר יהיה להפנות אליהם בקובץ ה-YAML של הגדרות האמון.

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

יצירת הגדרת אמון

הגדרת אמון היא משאב שמייצג את הגדרת תשתית של מפתח ציבורי (PKI) שלכם ב-Certificate Manager.

כדי ליצור משאב של הגדרת אמון, מבצעים את השלבים הבאים:

המסוף

נכנסים לדף Certificate Manager במסוף Google Cloud .

מעבר אל Certificate Manager
בכרטיסייה Trust Configs, לוחצים על Add Trust Config.
מזינים שם להגדרה.
בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.

המיקום מציין איפה מאוחסן משאב הגדרות האמון. עבור מאזני עומסים גלובליים חיצוניים של אפליקציות ומאזני עומסים פנימיים של אפליקציות חוצי-אזורים, יוצרים משאב תצורת אמון גלובלי. עבור מאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ומאזני עומסים פנימיים אזוריים של אפליקציות (ALB), צריך ליצור משאב אזורי של הגדרת אמון.
בקטע מאגר אישורים, לוחצים על ישות עוגן אמינה ומעלים את קובץ האישור בקידוד PEM, או מעתיקים את תוכן האישור.
לוחצים על הוספה.
בקטע מאגר אישורים, לוחצים על Add intermediate CA ומעלים את קובץ האישור בקידוד PEM, או מעתיקים את התוכן של האישור. בשלב הזה אפשר להוסיף עוד רמת אמון בין אישור הבסיס לבין אישור השרת.
לוחצים על הוספה כדי להוסיף את רשות האישורים המתווכת.
כדי להוסיף את האישור שהוספתם לרשימת ההיתרים, לוחצים על הוספה.
לוחצים על יצירה.

מוודאים שמשאב ההגדרות החדש של אמון מופיע ברשימת ההגדרות.

gcloud

יוצרים קובץ YAML של הגדרות אמון (trust_config.yaml) שמציין את הפרמטרים של הגדרות האמון. משאב ההגדרה של האמון בדוגמה הזו מכיל מאגר אישורים עם ישות עוגן אמינה ואישור ביניים. בדוגמה הזו, משאב ההגדרה של אמון קורא את תוכן האישור ממשתני הסביבה שנוצרו בשלב הקודם הגדרת הפורמט של האישורים.
```
cat << EOF > trust_config.yaml
trustStores:
- trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF
```
כדי ליצור מאגר אישורים עם ישויות עוגן אמינות נוספות או אישורי ביניים, מוסיפים pemCertificate שורות בקטע המתאים.
כדי לייבא את קובץ ה-YAML של הגדרות האמון, משתמשים בפקודה gcloud certificate-manager trust-configs import.
גלובלי
במאזני עומסים גלובליים חיצוניים של אפליקציות ובמאזני עומסים פנימיים של אפליקציות בין אזורים, מציינים את global כמיקום שבו מאוחסן משאב הגדרות האמון.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global
```
מחליפים את TRUST_CONFIG_NAME בשם של הגדרת האמון.
אזורי
במאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ובמאזני עומסים פנימיים אזוריים של אפליקציות (ALB), מציינים את האזור שבו מאוחסן משאב הגדרת האמון.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME \
    --source=trust_config.yaml \
    --location=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫TRUST_CONFIG_NAME: השם של משאב הגדרות האמון
- ‫REGION: האזור שבו מאוחסן משאב הגדרות האמון

יצירת משאב של הגדרות אימות לשרת העורפי

כדי ליצור משאב של הגדרת אימות בקצה העורפי (BackendAuthenticationConfig), פועלים לפי השלבים הבאים.

המסוף

נכנסים לדף Authentication Configuration במסוף Google Cloud .
מעבר אל Authentication Configuration
בכרטיסייה Backend Authentication (אימות בקצה העורפי), לוחצים על Create (יצירה).
מזינים שם למשאב של הגדרת האימות של ה-Backend.
בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.
אופציונלי: בוחרים את שורשי האמון הציבוריים.
בוחרים את משאב הגדרת האמון שיצרתם קודם.
אופציונלי: לוחצים על Equivalent code (קוד מקביל) כדי לראות את הגדרות Terraform של המשאב הזה.
לוחצים על יצירה.

מוודאים שמוצג משאב ההגדרה של אימות ה-Backend.

gcloud

יוצרים קובץ YAML שמציין באופן הצהרתי את המאפיינים השונים של משאב ההגדרות של אימות ה-Backend.
גלובלי

עבור מאזני עומסים גלובליים חיצוניים של אפליקציות ומאזני עומסים פנימיים של אפליקציות חוצי-אזורים, צריך ליצור משאב גלובלי של הגדרת אימות קצה עורפי.
```
cat << EOF > BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml
name: projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
trustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
wellKnownRoots: PUBLIC_ROOTS
EOF
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: השם של קובץ ה-YAML שבו מוגדר משאב התצורה של אימות ה-Backend
- ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
- ‫TRUST_CONFIG_NAME: השם של משאב הגדרות האמון שיצרתם קודם
אזורי

עבור מאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ומאזני עומסים פנימיים אזוריים של אפליקציות (ALB), יוצרים משאב אזורי של הגדרת אימות קצה עורפי.
```
cat << EOF > BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml
name: projects/PROJECT_ID/locations/REGION/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
wellKnownRoots: PUBLIC_ROOTS
EOF
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: השם של קובץ ה-YAML שבו מוגדר משאב התצורה של אימות ה-Backend
- ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud
- ‫REGION: שם האזור
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
- ‫TRUST_CONFIG_NAME: השם של משאב הגדרות האמון שיצרתם קודם
כדי לייבא את הגדרת האימות של הבק-אנד, משתמשים בפקודה gcloud network-security backend-authentication-configs import.
גלובלי
במאזני עומסים גלובליים חיצוניים של אפליקציות (ALB) ובמאזני עומסים פנימיים של אפליקציות (ALB) חוצי-אזורים, מגדירים את הדגל --location לערך global.
```
gcloud network-security backend-authentication-configs import BACKEND_AUTH_CONFIG_NAME \
    --source=BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml \
    --location=global
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
- ‫BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: השם של קובץ ה-YAML שבו מוגדר משאב ההגדרה של אימות ה-Backend
אזורי
במאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ובמאזני עומסים פנימיים אזוריים של אפליקציות (ALB), צריך להגדיר את הדגל --location לאזור שבו מאזן העומסים מוגדר.
```
gcloud network-security backend-authentication-configs import BACKEND_AUTH_CONFIG_NAME \
    --source=BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml \
    --location=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
- ‫BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: השם של קובץ ה-YAML שבו מוגדר משאב ההגדרה של אימות ה-Backend
- ‫REGION: האזור שבו מוגדר מאזן העומסים

צירוף משאב של הגדרת אימות לקצה העורפי לשירות הקצה העורפי של מאזן העומסים

כדי לצרף את הגדרת האימות של ה-backend (BackendAuthenticationConfig resource) לשירות לקצה העורפי של מאזן העומסים, מבצעים את השלבים הבאים.

המסוף

נכנסים לדף Load balancing במסוף Google Cloud .

כניסה לדף איזון עומסים
בכרטיסייה Backends (שרתי קצה עורפיים), בוחרים את שירות הקצה העורפי שרוצים להפעיל בו אימות TLS ו-mTLS.
לוחצים על עריכה.
מרחיבים את הקטע הגדרות מתקדמות.
בקטע Backend authentication, מסמנים את התיבה Enable.
אופציונלי: מציינים את שם המארח של SNI ואת שמות הנושא החלופיים (SAN) המקובלים כדי לאמת את האישור של ה-backend.
כדי לצרף את משאב ההגדרה של אימות ה-Backend לשירות ה-Backend, ברשימה Backend authentication config בוחרים את משאב ההגדרה של אימות ה-Backend.
לוחצים על Continue.
כדי לעדכן את הגדרות שירות לקצה העורפי, לוחצים על עדכון.

gcloud

כדי להציג את כל משאבי שירותי הקצה העורפי בפרויקט, משתמשים בפקודה gcloud compute backend-services list.
```
gcloud compute backend-services list
```
רושמים את השם של שירות לקצה העורפי שאליו רוצים לצרף את משאב BackendAuthenticationConfig. השם הזה נקרא BACKEND_SERVICE_NAME בשלבים הבאים.
כדי לייצא את הגדרת השירות של הקצה העורפי לקובץ, משתמשים בפקודה gcloud compute backend-services export.
גלובלי
במאזני עומסים גלובליים חיצוניים של אפליקציות (ALB) ובמאזני עומסים פנימיים של אפליקציות (ALB) חוצי-אזורים, מגדירים את הדגל --location לערך global.
```
gcloud compute backend-services export BACKEND_SERVICE_NAME \
    --destination=BACKEND_SERVICE_FILENAME.yaml \
    --global
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_NAME: השם של שירות לקצה העורפי
- ‫BACKEND_SERVICE_FILENAME: השם והנתיב של קובץ YAML שאליו מיוצאת הגדרת השירות של הקצה העורפי
אזורי
במאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ובמאזני עומסים פנימיים אזוריים של אפליקציות (ALB), צריך להגדיר את הדגל --location לאזור שבו מאזן העומסים מוגדר.
```
gcloud compute backend-services export BACKEND_SERVICE_NAME \
    --destination=BACKEND_SERVICE_FILENAME.yaml \
    --region=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_NAME: השם של שירות לקצה העורפי
- ‫BACKEND_SERVICE_FILENAME: השם והנתיב של קובץ YAML שאליו מיוצאת הגדרת השירות של הקצה העורפי
- ‫REGION: השם שלGoogle Cloud האזור שבו נמצא שירות הקצה העורפי
מעדכנים את מאפיין tlsSettings של שירות הקצה העורפי ומפנים אותו למשאב התצורה של אימות הקצה העורפי. בנוסף, אפשר להגדיר את שם המארח של SNI ואת ה-SAN המקובלים בשירות לקצה העורפי כדי לאמת את האישור העורפי.
גלובלי
במאזני עומסים גלובליים חיצוניים של אפליקציות ובמאזני עומסים פנימיים של אפליקציות חוצי אזורים, צריך לצרף את משאב ההגדרה הגלובלי של אימות הקצה העורפי לשירות הקצה העורפי.

הערכים של SNI ו-SAN בהצהרת ה-YAML הבאה הם דוגמאות בלבד. אפשר להחליף אותם בערכים מהעולם האמיתי שרלוונטיים להגדרה שלכם.
```
  cat << EOF >> BACKEND_SERVICE_FILENAME.yaml
  tlsSettings:
    authenticationConfig: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
    sni: examplepetstore.com
    subjectAltNames:
    - dnsName: examplepetstore.com
    - dnsName: api.examplepetstore.com
  EOF
  
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_FILENAME: השם של קובץ ה-YAML שאליו מיוצאת ההגדרה של שירות ה-Backend
- ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
אזורי
במאזני עומסים חיצוניים אזוריים של אפליקציות ובמאזני עומסים פנימיים אזוריים של אפליקציות, צריך לצרף את משאב ההגדרה של אימות הקצה העורפי האזורי לשירות הקצה העורפי.

הערכים של SNI ו-SAN בהצהרת ה-YAML הבאה הם דוגמאות בלבד. אפשר להחליף אותם בערכים מהעולם האמיתי שרלוונטיים להגדרה שלכם.
```
  cat << EOF >> BACKEND_SERVICE_FILENAME.yaml
  tlsSettings:
    authenticationConfig: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/REGION/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
    sni: examplepetstore.com
    subjectAltNames:
    - dnsName: examplepetstore.com
    - dnsName: api.examplepetstore.com
  EOF
  
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_FILENAME: השם של קובץ ה-YAML שאליו מיוצאת ההגדרה של שירות ה-Backend
- ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud
- ‫REGION: השם שלGoogle Cloud האזור שבו נוצרת ההגדרה של אימות ה-backend
- ‫BACKEND_AUTH_CONFIG_NAME: השם של משאב ההגדרה של אימות ה-Backend
כדי לייבא את ההגדרות המעודכנות של שירות הקצה העורפי מקובץ, משתמשים בפקודה gcloud compute backend-services import.
גלובלי
למאזני עומסים גלובליים חיצוניים של אפליקציות (ALB) ולמאזני עומסים פנימיים של אפליקציות (ALB) חוצי-אזורים, משתמשים בדגל --global.
```
  gcloud compute backend-services import BACKEND_SERVICE_NAME \
      --source=BACKEND_SERVICE_FILENAME.yaml \
      --global
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_NAME: השם של שירות לקצה העורפי
- ‫BACKEND_SERVICE_FILENAME: השם של קובץ ה-YAML של הגדרות שירות הקצה העורפי
אזורי
במאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) ובמאזני עומסים פנימיים אזוריים של אפליקציות (ALB), צריך להגדיר את הדגל --region לאזור שבו ממוקם מאזן העומסים.
```
  gcloud compute backend-services import BACKEND_SERVICE_NAME \
      --source=BACKEND_SERVICE_FILENAME.yaml \
      --region=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫BACKEND_SERVICE_NAME: השם של שירות לקצה העורפי
- ‫BACKEND_SERVICE_FILENAME: השם של קובץ ה-YAML של הגדרות שירות הקצה העורפי
- ‫REGION: השם שלGoogle Cloud האזור שבו נמצא שירות הקצה העורפי

יצירת אישור לשרת קצה עורפי

בקטע הזה מוסבר על אפשרות הגדרה נוספת ליצירת אישור שרת (עלה) שנחתם על ידי אישור הביניים, שהוא חלק מהגדרת המהימנות. כך אפשר ליצור שרשרת של אמון מאישור השרת בחזרה לישות העוגן האמינה.

אם כבר יצרתם משאב תצורת מהימנות שמכיל אישור ביניים, אתם צריכים לבצע את הפעולות הבאות:

יוצרים קובץ תצורה כדי ליצור את ה-CSR לאישור השרת.

קובץ התצורה הבא (server.config) מכיל את הקטע [extension_requirements], שמציין את התוספים של X.509 שייכללו ב-CSR. מידע נוסף על הדרישות לגבי אישורי שרת זמין במאמר דרישות לגבי אישורים.

cat > server.config << EOF
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = critical, CA:FALSE
keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage          = serverAuth
subjectAltName            = @alt_names

[alt_names]
DNS.1 = examplepetstore.com
DNS.2 = api.examplepetstore.com

[dn_requirements]
countryName               = US
stateOrProvinceName       = California
localityName              = San Francisco
0.organizationName        = example
organizationalUnitName    = test
commonName                = examplepetstore.com
emailAddress              = test@examplepetstore.com

EOF

יוצרים את ה-CSR ‏ (server.csr) לאישור השרת.

openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -config server.config \
    -keyout server.key -out server.csr

חותמים על ה-CSR כדי להנפיק את אישור השרת X.509 ‏ (server.cert). ה-CSR נחתם על ידי אישור הביניים.
```
openssl x509 -req \
    -CAkey int.key -CA int.cert \
    -days 365 \
    -extfile server.config \
    -extensions extension_requirements \
    -in server.csr -out server.cert
```
כשמאזן העומסים מתחבר לשרת העורפי, השרת העורפי מציג את האישור שלו (server.cert) כדי לאמת את עצמו מול מאזן העומסים, וכך תהליך האימות העורפי מסתיים.

אפשרויות נוספות להגדרת SSL בשרת אינטרנט של Apache

בקטע האופציונלי הזה מוסבר איך לעדכן את אפשרויות ההגדרה של SSL בשרת Apache על סמך אישורי השרת שיצרתם קודם.

מעתיקים את המפתח הפרטי של השרת (server.key) ואת אישור השרת (server.cert) לשרת האינטרנט של Apache.
```
    cat > server.key << EOF
    -----BEGIN PRIVATE KEY-----
    [...]
    -----END PRIVATE KEY-----
    EOF

    sudo cp ./server.key /etc/ssl/private/server.key
    
```
מחליפים את [...] במפתח הפרטי של השרת שעבר קידוד PEM שיצרתם קודם לכן.
```
    cat > server.cert << EOF
    -----BEGIN CERTIFICATE-----
    [...]
    -----END CERTIFICATE-----
    EOF

    sudo cp ./server.cert /etc/ssl/certs/server.cert
    
```
מחליפים את [...] באישור השרת בקידוד PEM שיצרתם קודם לכן.
מעדכנים את הגדרות ה-SSL של שרת האינטרנט Apache.

מעדכנים את הגדרת ה-SSL של Apache כדי להפעיל תעבורת HTTPS באמצעות אישור ה-SSL והמפתח הפרטי שצוינו.
```
    sudo vi /etc/apache2/sites-available/default-ssl.conf

    ----
    SSLCertificateFile      /etc/ssl/certs/server.cert
    SSLCertificateKeyFile /etc/ssl/private/server.key
    ----
    
```
מבצעים גיבוב מחדש של אישורי ה-CA.
```
    sudo c_rehash /etc/ssl/certs/
    
```
מפעילים מחדש את שרת האינטרנט של Apache כדי להחיל את השינויים.
```
    sudo systemctl restart apache2.service
    
```

הגדרת TLS מאומת בקצה העורפי קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

הרשאות

סקירה כללית של ההגדרה

יצירת אישורי הבסיס ואישורי הביניים

עיצוב האישורים

יצירת הגדרת אמון

המסוף

gcloud

גלובלי

אזורי

יצירת משאב של הגדרות אימות לשרת העורפי

המסוף

gcloud

גלובלי

אזורי

גלובלי

אזורי

צירוף משאב של הגדרת אימות לקצה העורפי לשירות הקצה העורפי של מאזן העומסים

המסוף

gcloud

גלובלי

אזורי

גלובלי

אזורי

גלובלי

אזורי

יצירת אישור לשרת קצה עורפי

אפשרויות נוספות להגדרת SSL בשרת אינטרנט של Apache

המאמרים הבאים

הגדרת TLS מאומת בקצה העורפי