Menggunakan kebijakan SSL

Kebijakan SSL menentukan versi TLS minimum dan serangkaian kemampuan TLS yang digunakan Cloud Load Balancing saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.

Kebijakan SSL didukung dengan load balancer berikut:

  • Kebijakan SSL global
    • Load Balancer Aplikasi eksternal global
    • Load Balancer Aplikasi klasik
    • Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
    • Load Balancer Aplikasi internal lintas region
  • Kebijakan SSL regional
    • Load Balancer Aplikasi eksternal regional
    • Load Balancer Aplikasi internal regional

Untuk mengetahui informasi selengkapnya tentang cara kerja kebijakan SSL, lihat Kebijakan SSL untuk protokol SSL dan TLS.

Anda dapat membuat dan mengelola kebijakan SSL menggunakan konsol Google Cloud atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL atau kapan saja setelah membuat load balancer.

Membuat kebijakan SSL

Anda dapat membuat kebijakan SSL dengan profil yang telah ditentukan sebelumnya atau dengan profil kustom.

Membuat kebijakan SSL dengan profil yang telah ditentukan sebelumnya

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil standar, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk kebijakan SSL global, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Minimum TLS Version, pilih nilai.

  6. Untuk Profile, pilih Compatible, Modern, Restricted, atau FIPS_202205.

    • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
    • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

    Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil akan ditampilkan.

  7. Untuk Post-quantum key exchange, pilih Default, Enabled, atau Deferred. Untuk mempelajari lebih lanjut berbagai mode, lihat Mode pertukaran kunci pasca-kuantum.

  8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  9. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil yang telah ditentukan sebelumnya, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Region, pilih region.

  6. Untuk Minimum TLS Version, pilih nilai.

  7. Untuk Profile, pilih Compatible, Modern, Restricted, atau FIPS_202205.

    • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
    • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

    Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil akan ditampilkan.

  8. Untuk Post-quantum key exchange, pilih Default, Enabled, atau Deferred. Untuk mempelajari lebih lanjut berbagai mode, lihat Mode pertukaran kunci pasca-kuantum.

  9. Jika ada load balancer yang ingin Anda lampirkan kebijakan, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  10. Klik Create.

gcloud

Kebijakan SSL global

Berikut adalah sintaks umum untuk membuat kebijakan SSL global dengan profil yang telah ditentukan sebelumnya.

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien.
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang telah ditentukan sebelumnya.

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien.
  • REGION: region untuk kebijakan SSL.
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Membuat kebijakan SSL dengan profil kustom

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk kebijakan SSL global, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Minimum TLS Version, pilih nilai.

  6. Untuk Profile, pilih Custom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan.

  7. Untuk Post-quantum key exchange, pilih Default, Enabled, atau Deferred. Untuk mempelajari lebih lanjut berbagai mode, lihat Mode pertukaran kunci pasca-kuantum.

  8. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Paket cipher yang Anda aktifkan akan dicantumkan sebagai Fitur yang diaktifkan. Untuk mempelajari lebih lanjut berbagai cipher suite yang dapat Anda pilih saat menggunakan profil CUSTOM, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.

  9. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  10. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Region, pilih region.

  6. Untuk Minimum TLS Version, pilih nilai.

  7. Untuk Profile, pilih Custom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan.

  8. Untuk Post-quantum key exchange, pilih Default, Enabled, atau Deferred. Untuk mempelajari lebih lanjut berbagai mode, lihat Mode pertukaran kunci pasca-kuantum.

  9. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Paket cipher yang Anda aktifkan akan dicantumkan sebagai Fitur yang diaktifkan. Untuk mempelajari lebih lanjut berbagai cipher suite yang dapat Anda pilih saat menggunakan profil CUSTOM, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.

  10. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  11. Klik Create.

gcloud

Saat Anda membuat kebijakan SSL dengan profil CUSTOM, hanya fitur yang Anda tentukan dalam perintah create yang didukung. Fitur lainnya tidak didukung.

Kebijakan SSL global

Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • SSL_FEATURE_1 | 2 | 3: rangkaian sandi berbeda yang dapat Anda pilih saat menggunakan profil CUSTOM. Untuk mempelajari lebih lanjut, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • SSL_FEATURE_1 | 2 | 3: rangkaian sandi berbeda yang dapat Anda pilih saat menggunakan profil CUSTOM. Untuk mempelajari lebih lanjut, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.
  • REGION: region tempat kebijakan SSL diterapkan
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Membuat daftar kebijakan SSL

Konsol

Di konsol Google Cloud , buka halaman SSL policies.

Buka kebijakan SSL

Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Cakupan menunjukkan apakah kebijakan SSL bersifat global atau regional.

gcloud

Mencantumkan kebijakan SSL global dan regional:

gcloud compute ssl-policies list

Hanya mencantumkan kebijakan SSL global:

gcloud compute ssl-policies list --global

Hanya mencantumkan kebijakan SSL regional:

gcloud compute ssl-policies list --regions REGION

Ganti REGION dengan region tempat kebijakan SSL akan diterapkan.

Mencantumkan fitur yang tersedia dalam kebijakan SSL

Konsol

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan akan dicantumkan.

gcloud

Mencantumkan fitur yang tersedia dalam kebijakan SSL global:

gcloud compute ssl-policies list-available-features

Mencantumkan fitur yang tersedia dalam kebijakan SSL regional:

gcloud compute ssl-policies list-available-features \
    --region REGION

Ganti REGION dengan region kebijakan SSL yang fiturnya ingin Anda cantumkan.

Mengubah kebijakan SSL

Konsol

Untuk mengubah kebijakan SSL global atau regional, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang ingin Anda ubah.

  3. Klik Edit.

  4. Buat perubahan yang Anda inginkan.

  5. Klik Simpan.

gcloud

Untuk mengubah kebijakan SSL yang ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin Anda perbarui. Kolom yang tidak ditentukan tidak akan diperbarui.

Jika Anda memperbarui fitur, fitur yang sebelumnya diaktifkan akan dihapus dan diganti dengan fitur baru yang Anda tentukan.

Kebijakan SSL global

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • FEATURES: rangkaian sandi berbeda yang dapat Anda pilih saat menggunakan profil CUSTOM. Untuk mempelajari lebih lanjut, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Kebijakan SSL regional

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --region REGION \
    --post-quantum-key-exchange MODE

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • FEATURES: rangkaian sandi berbeda yang dapat Anda pilih saat menggunakan profil CUSTOM. Untuk mempelajari lebih lanjut, lihat Cipher suite untuk TLS 1.2 dan yang lebih lama.
  • REGION: region kebijakan SSL yang fiturnya ingin Anda update
  • MODE: Anda dapat menyetel mode pertukaran kunci pasca-kuantum ke ENABLED, DEFAULT, atau DEFERRED. Untuk mempelajari lebih lanjut berbagai mode, lihat mode pertukaran kunci pasca-kuantum.

Membuat proxy target dengan kebijakan SSL

Konsol

Anda dapat membuat proxy target menggunakan konsol Google Cloud saat Anda membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:

gcloud

Untuk membuat proxy SSL target dengan kebijakan SSL global:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

Ganti kode berikut:

  • TARGET_SSL_PROXY_NAME: nama proxy target
  • BACKEND_SERVICE_NAME: nama layanan backend
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

Ganti kode berikut:

  • TARGET_HTTPS_PROXY_NAME: nama proxy target
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • URL_MAP_NAME: nama peta URL
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Ganti kode berikut:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • URL_MAP_NAME: nama peta URL
  • MAP_REGION: nama wilayah Google Cloud tempat peta URL berada
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • REGION: region kebijakan SSL yang ingin Anda gunakan untuk membuat proxy HTTPS target

Melampirkan kebijakan SSL yang ada ke proxy target yang ada

Konsol

Proxy target tidak dapat diubah di konsol Google Cloud . Gunakan gcloud CLI atau API sebagai gantinya.

gcloud

Gunakan perintah ini untuk melampirkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.

  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy SSL target:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat untuk menemukan proxy SSL target.

  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy HTTPS target:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat menemukan proxy HTTPS target.

  • Untuk mencantumkan semua proxy SSL target global dalam project, gunakan metode targetSslProxies.aggregatedList. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy SSL target yang tidak mereferensikan kebijakan SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

  • Untuk mencantumkan semua proxy HTTPS target global dan regional di project, gunakan metode targetHttpsProxies.aggregatedList dengan parameter kueri includeAllScopes yang ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy HTTPS target yang tidak mereferensikan kebijakan SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

  • Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ganti kode berikut:

    • TARGET_SSL_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

  • Untuk melampirkan kebijakan SSL global yang ada ke proxy HTTPS target global:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ganti kode berikut:

    • TARGET_HTTPS_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

  • Untuk melampirkan kebijakan SSL regional yang ada ke proxy HTTPS target regional:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    Ganti kode berikut:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
    • REGION: region kebijakan SSL yang ingin Anda lampirkan ke proxy HTTPS target regional

Jika Anda tidak memberikan tanda --ssl-policy atau tanda --clear-ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak berubah. Tanda --clear-ssl-policy dijelaskan dalam Menghapus kebijakan SSL dari proxy target.

API

Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan metode targetHttpsProxies.patch.

Untuk menetapkan kebijakan SSL regional untuk proxy target regional, gunakan metode regionTargetHttpsProxies.patch.

Menghapus kebijakan SSL dari proxy target

Konsol

Proxy target tidak dapat diubah di konsol Google Cloud . Gunakan gcloud CLI atau API sebagai gantinya.

gcloud

Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau proxy HTTPS. Jika Anda tidak melampirkan kebijakan SSL lain ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.

Untuk menghapus kebijakan SSL global dari proxy SSL target:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Ganti TARGET_SSL_PROXY_NAME dengan nama proxy target.

Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Ganti TARGET_HTTPS_PROXY_NAME dengan nama proxy target.

Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Ganti kode berikut:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
  • REGION: region kebijakan SSL yang ingin Anda lampirkan ke proxy HTTPS target regional

Jika Anda memberikan tanda --clear-ssl-policy dalam perintah update, kebijakan SSL akan dihapus dari proxy.

Jika Anda tidak memberikan tanda --clear-ssl-policy atau tanda--ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --ssl-policy dijelaskan di Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

Mengelola kebijakan SSL

Jika Anda menggunakan batasan kustom untuk membatasi kemampuan TLS, periksa secara manual kepatuhan TLS dalam kebijakan SSL yang sudah ada dan terlampir pada proxy SSL target dan proxy HTTPS target.

Gunakan langkah-langkah contoh berikut untuk menemukan dan memperbarui kebijakan SSL yang tidak memenuhi sasaran keamanan Anda.

  • Untuk menemukan semua project di organisasi Anda yang memiliki resource kebijakan SSL:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat menemukan semua project yang memiliki resource kebijakan SSL.

  • Untuk mencantumkan semua kebijakan SSL global dan regional dalam project, gunakan metode sslPolicies.aggregatedList dengan parameter kueri includeAllScopes yang ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri kebijakan SSL yang tidak sesuai dengan sasaran keamanan Anda.

    Misalnya, untuk menemukan kebijakan SSL dengan versi TLS yang lebih rendah dari 1.2, gunakan filter minTlsVersion="TLS_1_0" atau minTlsVersion="TLS_1_1":

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

    Untuk mendapatkan kunci API, lihat Mengelola kunci API. Untuk mendapatkan token akses, gunakan metode projects.serviceAccounts.generateAccessToken.

    Kemudian, perbarui kebijakan SSL yang tidak memenuhi persyaratan TLS minimum Anda.

    Untuk memperbarui kebijakan SSL global, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    Ganti SSL_POLICY_NAME dengan nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien.

    Untuk memperbarui kebijakan SSL regional, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    Ganti kode berikut:

    • SSL_POLICY_NAME: nama kebijakan SSL
    • REGION: region untuk kebijakan SSL

  • Untuk mencantumkan semua proxy SSL target dalam project yang tidak terkait dengan kebijakan SSL, jalankan perintah berikut:

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

    Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

  • Anda juga dapat menggunakan Inventaris Aset Cloud atau Google APIs Explorer untuk menemukan dan memperbarui resource yang tidak memenuhi persyaratan keamanan Anda.

    Misalnya, untuk mencari daftar proxy SSL target yang tidak terkait dengan kebijakan SSL, Anda dapat menggunakan langkah-langkah berikut di Inventaris Aset Cloud:

    1. Di konsol Google Cloud , buka halaman Inventaris aset.

      Buka Inventaris aset

    2. Klik Kueri aset.

    3. Di kolom Edit query, masukkan kueri berikut, lalu klik Run.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

    5. Jalankan kueri di Inventaris Aset Cloud hingga Anda melihat respons kosong.

Batas

Lihat Proxy target.

Referensi API

Untuk deskripsi properti dan metode yang tersedia bagi Anda saat menggunakan kebijakan SSL melalui REST API, lihat bagian berikut:

Produk Dokumentasi API
  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi klasik
  • Load Balancer Aplikasi internal lintas region
  • Load Balancer Jaringan proxy eksternal global
  • Load Balancer Jaringan proxy klasik
 sslPolicies
  • Load Balancer Aplikasi eksternal regional
  • Load Balancer Aplikasi internal regional
 regionSslPolicies

Referensi gcloud CLI

Untuk referensi Google Cloud CLI, lihat berikut ini:

Langkah berikutnya