Utiliser des règles SSL

Les règles SSL spécifient une version TLS minimale et un ensemble de fonctionnalités TLS que Cloud Load Balancing utilise lors de la négociation SSL avec les clients. Dans ce document, le terme SSL désigne à la fois les protocoles SSL et TLS.

Les règles SSL sont compatibles avec les équilibreurs de charge suivants :

  • Règles SSL globales
    • Équilibreur de charge d'application externe global
    • Équilibreur de charge d'application classique
    • Équilibreur de charge réseau proxy externe (avec proxy SSL cible)
    • Équilibreur de charge d'application interne interrégional
  • Règles SSL régionales
    • Équilibreur de charge d'application externe régional
    • Équilibreur de charge d'application interne régional

Pour en savoir plus sur le fonctionnement des règles SSL, consultez Règles SSL pour les protocoles SSL et TLS.

Vous pouvez créer et gérer des règles SSL à l'aide de la console Google Cloud ou de la Google Cloud CLI lorsque vous créez un équilibreur de charge HTTPS ou SSL, ou à tout moment après la création de l'équilibreur de charge.

Créez des règles SSL

Vous pouvez créer des règles SSL avec des profils prédéfinis ou avec un profil personnalisé.

Créer une règle SSL avec un profil prédéfini

Console

Règle SSL globale

Pour créer une règle SSL globale avec un profil prédéfini, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur Create policy (Créer une régle).

  3. Dans la section Règle SSL globale, cliquez sur le bouton Créer situé en regard. La page Créer une règle s'affiche.

  4. Saisissez un nom.

  5. Sous Version minimale de TLS, sélectionnez une valeur.

  6. Dans la section Profil, sélectionnez Compatible, Moderne, Limité ou FIPS_202205.

    • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
    • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

    Les Fonctionnalités activées et les Fonctionnalités désactivées pour le profil s'affichent.

  7. Pour Échange de clés post-quantique, sélectionnez Par défaut, Activé ou Différé. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

  8. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Appliquer aux cibles et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si nécessaire, ajoutez d'autres cibles.

  9. Cliquez sur Créer.

Règle SSL régionale

Pour créer une règle SSL régionale avec un profil prédéfini, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur Create policy (Créer une régle).

  3. Dans la section Règle SSL régionale, cliquez sur le bouton Créer situé en regard. La page Créer une règle s'affiche.

  4. Saisissez un nom.

  5. Dans le champ Région, sélectionnez une région.

  6. Sous Version minimale de TLS, sélectionnez une valeur.

  7. Dans la section Profil, sélectionnez Compatible, Moderne, Limité ou FIPS_202205.

    • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
    • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

    Les Fonctionnalités activées et les Fonctionnalités désactivées pour le profil s'affichent.

  8. Pour Échange de clés post-quantique, sélectionnez Par défaut, Activé ou Différé. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

  9. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Appliquer aux cibles et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si nécessaire, ajoutez d'autres cibles.

  10. Cliquez sur Créer.

gcloud

Règle SSL globale

Voici la syntaxe générale pour créer une règle SSL globale avec un profil prédéfini.

  • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
  • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients.
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Règle SSL régionale

Voici la syntaxe générale pour créer une règle SSL régionale avec un profil prédéfini.

  • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
  • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients.
  • REGION : région de la règle SSL.
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Créer une règle SSL avec un profil personnalisé

Console

Règle SSL globale

Pour créer une règle SSL globale avec un profil personnalisé, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur Create policy (Créer une régle).

  3. Dans la section Règle SSL globale, cliquez sur le bouton Créer situé en regard. La page Créer une règle s'affiche.

  4. Saisissez un nom.

  5. Sous Version minimale de TLS, sélectionnez une valeur.

  6. Dans la section Profil, sélectionnez Personnalisé. Toutes les fonctionnalités sont affichées en tant que Fonctionnalités désactivées.

  7. Pour Échange de clés post-quantique, sélectionnez Par défaut, Activé ou Différé. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

  8. Dans la liste Fonctionnalités, sélectionnez toutes les suites de chiffrement que vous souhaitez activer. Les suites de chiffrement activées sont maintenant répertoriées en tant que Fonctionnalités activées. Pour en savoir plus sur les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.

  9. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Appliquer aux cibles et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si nécessaire, ajoutez d'autres cibles.

  10. Cliquez sur Créer.

Règle SSL régionale

Pour créer une règle SSL régionale avec un profil personnalisé, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur Create policy (Créer une régle).

  3. Dans la section Règle SSL régionale, cliquez sur le bouton Créer situé en regard. La page Créer une règle s'affiche.

  4. Saisissez un nom.

  5. Dans le champ Région, sélectionnez une région.

  6. Sous Version minimale de TLS, sélectionnez une valeur.

  7. Dans la section Profil, sélectionnez Personnalisé. Toutes les fonctionnalités sont affichées en tant que Fonctionnalités désactivées.

  8. Pour Échange de clés post-quantique, sélectionnez Par défaut, Activé ou Différé. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

  9. Dans la liste Fonctionnalités, sélectionnez toutes les suites de chiffrement que vous souhaitez activer. Les suites de chiffrement activées sont maintenant répertoriées en tant que Fonctionnalités activées. Pour en savoir plus sur les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.

  10. Si vous souhaitez associer la règle à un équilibreur de charge existant, cliquez sur Appliquer aux cibles et sélectionnez une règle de transfert en tant que cible de la règle SSL. Si nécessaire, ajoutez d'autres cibles.

  11. Cliquez sur Créer.

gcloud

Lorsque vous créez une règle SSL avec le profil CUSTOM, seules les fonctionnalités que vous spécifiez dans la commande create sont acceptées. Les autres fonctionnalités ne sont pas prises en charge.

Règle SSL globale

Voici la syntaxe générale pour créer une règle SSL globale avec un profil personnalisé :

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients
  • SSL_FEATURE_1 | 2 | 3 : les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM. Pour en savoir plus, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Règle SSL régionale

Voici la syntaxe générale pour la création d'une règle SSL régionale avec un profil personnalisé :

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients
  • SSL_FEATURE_1 | 2 | 3 : les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM. Pour en savoir plus, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.
  • REGION : région dans laquelle appliquer la règle SSL
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Obtenir la liste des règles du protocole SSL

Console

Dans la console Google Cloud , accédez à la page Règles SSL.

Accéder aux règles SSL

Vous pouvez afficher la liste de toutes les règles SSL disponibles. Le champ Portée indique si la règle SSL est globale ou régionale.

gcloud

Répertoriez les règles SSL globales et régionales :

gcloud compute ssl-policies list

Pour n'afficher que les règles SSL globales :

gcloud compute ssl-policies list --global

Pour répertorier uniquement les règles SSL régionales :

gcloud compute ssl-policies list --regions REGION

Remplacez REGION par la région dans laquelle appliquer la règle SSL.

Répertorier les fonctionnalités disponibles dans une règle SSL

Console

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur le nom de la règle dont vous souhaitez afficher les fonctionnalités. Les suites de chiffrement activées et désactivées sont listées.

gcloud

Répertoriez les fonctionnalités disponibles dans les règles SSL globales :

gcloud compute ssl-policies list-available-features

Pour répertorier les fonctionnalités disponibles dans les règles SSL régionales :

gcloud compute ssl-policies list-available-features \
    --region REGION

Remplacez REGION par la région de la règle SSL dont vous souhaitez lister les fonctionnalités.

Modifier des règles SSL

Console

Pour modifier une règle SSL globale ou régionale, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles SSL.

    Accéder aux règles SSL

  2. Cliquez sur le nom de la règle que vous souhaitez modifier.

  3. Cliquez sur Modifier.

  4. Apportez les modifications souhaitées.

  5. Cliquez sur Enregistrer.

gcloud

Pour modifier une règle SSL existante, transmettez tout ou partie des options correspondant aux champs que vous souhaitez mettre à jour. Les champs non spécifiés ne sont pas mis à jour.

Si vous mettez à jour les fonctionnalités, celles que vous avez précédemment activées sont supprimées et remplacées par les fonctionnalités que vous spécifiez.

Règles SSL globales

  • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
  • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients
  • FEATURES : les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM. Pour en savoir plus, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Règles SSL régionales

  • Les règles SSL qui utilisent le profil FIPS_202205 doivent utiliser une version TLS minimale de 1.2.
  • Si vous définissez la version TLS minimale d'une règle SSL sur 1.3, la règle doit utiliser le profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES \
    --region REGION \
    --post-quantum-key-exchange MODE

Remplacez les éléments suivants :

  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients
  • FEATURES : les différentes suites de chiffrement que vous pouvez sélectionner lorsque vous utilisez le profil CUSTOM. Pour en savoir plus, consultez Suites de chiffrement pour TLS 1.2 et versions antérieures.
  • REGION : région de la règle SSL dont vous souhaitez mettre à jour les fonctionnalités
  • MODE : vous pouvez définir le mode d'échange de clés post-quantique sur ENABLED, DEFAULT ou DEFERRED. Pour en savoir plus sur les différents modes, consultez Modes d'échange de clés post-quantiques.

Créer un proxy cible avec une règle SSL

Console

Vous pouvez créer un proxy cible à l'aide de la console Google Cloud lorsque vous créez ou mettez à jour l'équilibreur de charge, comme indiqué dans les documents suivants :

gcloud

Pour créer un proxy SSL cible avec une règle SSL globale :

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

Remplacez les éléments suivants :

  • TARGET_SSL_PROXY_NAME : nom du proxy cible
  • BACKEND_SERVICE_NAME : nom du service de backend
  • SSL_CERTIFICATE_NAME : nom du certificat TLS
  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients

Pour créer un proxy HTTPS cible mondial avec une règle SSL globale, procédez comme suit :

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

Remplacez les éléments suivants :

  • TARGET_HTTPS_PROXY_NAME : nom du proxy cible
  • SSL_CERTIFICATE_NAME : nom du certificat TLS
  • URL_MAP_NAME : nom du mappage d'URL
  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients

Pour créer un proxy HTTPS cible régional avec une règle SSL régionale, procédez comme suit :

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Remplacez les éléments suivants :

  • REGIONAL_TARGET_HTTPS_PROXY_NAME : nom du proxy cible.
  • SSL_CERTIFICATE_NAME : nom du certificat TLS
  • URL_MAP_NAME : nom du mappage d'URL
  • MAP_REGION : nom de la région Google Cloudoù se trouve le mappage d'URL
  • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS utilisées par votre équilibreur de charge lors de la négociation des connexions avec les clients
  • REGION : région de la règle SSL avec laquelle vous souhaitez créer le proxy HTTPS cible

Associer une règle SSL existante à un proxy cible existant

Console

Les proxys cibles ne peuvent pas être modifiés dans la console Google Cloud . Utilisez plutôt gcloud CLI ou l'API.

gcloud

Utilisez ces commandes pour associer une règle SSL existante à un proxy SSL ou HTTPS.

  • Pour rechercher tous les projets de votre organisation qui disposent de proxys SSL cibles, procédez comme suit :

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    Remplacez ORGANIZATION_ID par l'ID de l'organisation dans laquelle trouver les proxys SSL cibles.

  • Pour rechercher tous les projets de votre organisation qui disposent de proxys HTTPS cibles :

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    Remplacez ORGANIZATION_ID par l'ID de l'organisation dans laquelle trouver les proxys HTTPS cibles.

  • Pour lister tous les proxys SSL cibles globaux d'un projet, utilisez la méthode targetSslProxies.aggregatedList. Ensuite, utilisez le paramètre de requête filter pour rechercher les proxys SSL cibles qui ne font pas référence à une règle SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Remplacez les éléments suivants :

    • PROJECT_ID : nom de l'ID du projet
    • YOUR_API_KEY : votre clé API.
    • YOUR_ACCESS_TOKEN : votre jeton d'accès

  • Pour lister tous les proxys HTTPS cibles globaux et régionaux d'un projet, utilisez la méthode targetHttpsProxies.aggregatedList avec le paramètre de requête includeAllScopes défini sur true. Utilisez ensuite le paramètre de requête filter pour rechercher les proxys HTTPS cibles qui ne font pas référence à une règle SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Remplacez les éléments suivants :

    • PROJECT_ID : nom de l'ID du projet
    • YOUR_API_KEY : votre clé API.
    • YOUR_ACCESS_TOKEN : votre jeton d'accès

  • Pour associer une règle SSL globale existante à un proxy SSL cible :

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Remplacez les éléments suivants :

    • TARGET_SSL_PROXY_NAME : nom du proxy cible
    • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients

  • Pour associer une règle SSL globale existante à un proxy HTTPS cible mondial :

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Remplacez les éléments suivants :

    • TARGET_HTTPS_PROXY_NAME : nom du proxy cible
    • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients

  • Pour associer une règle SSL régionale existante à un proxy HTTPS cible régional :

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    Remplacez les éléments suivants :

    • REGIONAL_TARGET_HTTPS_PROXY_NAME : nom du proxy cible
    • SSL_POLICY_NAME : nom que vous avez attribué à la règle SSL qui définit les capacités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients
    • REGION : région de la règle SSL que vous souhaitez associer au proxy HTTPS cible régional

Si vous ne fournissez pas l'option --ssl-policy ou l'option --clear-ssl-policy dans une mise à jour du proxy cible (par exemple, lors de la mise à jour d'un certificat SSL), la règle SSL n'est pas modifiée. L'option --clear-ssl-policy est décrite dans la section Supprimer une règle SSL d'un proxy cible.

API

Pour définir une règle SSL globale pour un proxy cible global, utilisez la méthode targetHttpsProxies.patch.

Pour définir une règle SSL régionale pour un proxy cible régional, utilisez la méthode regionTargetHttpsProxies.patch.

Supprimer une règle SSL d'un proxy cible

Console

Les proxys cibles ne peuvent pas être modifiés dans la console Google Cloud . Utilisez plutôt gcloud CLI ou l'API.

gcloud

Utilisez ces commandes pour supprimer une règle SSL d'un proxy SSL ou d'un proxy HTTPS . Si vous n'associez pas une autre règle SSL au proxy cible, l'équilibreur de charge utilisera la règle SSL par défaut. L'utilisation de l'option --clear-ssl-policy équivaut au fait de remplacer une règle SSL par la règle SSL par défaut.

Pour supprimer une règle SSL globale d'un proxy SSL cible, procédez comme suit :

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Remplacez TARGET_SSL_PROXY_NAME par le nom du proxy cible.

Pour supprimer une règle SSL globale d'un proxy HTTPS cible mondial, procédez comme suit :

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Remplacez TARGET_HTTPS_PROXY_NAME par le nom du proxy cible.

Pour supprimer une règle SSL régionale d'un proxy HTTPS cible régional, procédez comme suit :

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Remplacez les éléments suivants :

  • REGIONAL_TARGET_HTTPS_PROXY_NAME : nom du proxy cible
  • REGION : région de la règle SSL que vous souhaitez associer au proxy HTTPS cible régional

Lorsque vous fournissez l'option --clear-ssl-policy dans la commande de mise à jour, la règle SSL est supprimée du proxy.

Si vous ne fournissez pas l'option --clear-ssl-policy ou l'option --ssl-policy dans la mise à jour du proxy cible (par exemple, lors de la mise à jour d'un certificat SSL), la règle SSL n'est pas modifiée. L'option --ssl-policy est décrite dans la section Associer une règle SSL existante à un proxy cible existant.

Gérer les règles SSL

Si vous utilisez des contraintes personnalisées pour restreindre les fonctionnalités TLS, vérifiez manuellement la conformité TLS dans les règles SSL préexistantes associées aux proxys SSL cibles et aux proxys HTTPS cibles.

Suivez les exemples d'étapes ci-dessous pour rechercher et mettre à jour les règles SSL qui ne répondent pas à vos objectifs de sécurité.

  • Pour rechercher tous les projets de votre organisation disposant de ressources de règles SSL, procédez comme suit :

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    Remplacez ORGANIZATION_ID par l'ID de l'organisation dans laquelle trouver tous les projets disposant de ressources de règles SSL.

  • Pour lister toutes les règles SSL globales et régionales d'un projet, utilisez la méthode sslPolicies.aggregatedList avec le paramètre de requête includeAllScopes défini sur true. Utilisez ensuite le paramètre de requête filter pour rechercher les règles SSL qui ne correspondent pas à vos objectifs de sécurité.

    Par exemple, pour rechercher des règles SSL avec une version TLS antérieure à 1.2, utilisez le filtre minTlsVersion="TLS_1_0" ou minTlsVersion="TLS_1_1" :

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    Remplacez les éléments suivants :

    • PROJECT_ID : nom de l'ID du projet
    • YOUR_API_KEY : votre clé API.
    • YOUR_ACCESS_TOKEN : votre jeton d'accès

    Pour obtenir votre clé API, consultez Gérer les clés API. Pour obtenir votre jeton d'accès, utilisez la méthode projects.serviceAccounts.generateAccessToken.

    Mettez ensuite à jour les règles SSL qui ne répondent pas à votre exigence minimale concernant TLS.

    Pour mettre à jour une règle SSL globale, vous pouvez utiliser la commande suivante :

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    Remplacez SSL_POLICY_NAME par le nom que vous avez attribué à la règle SSL qui définit les fonctionnalités TLS que votre équilibreur de charge utilise lors de la négociation des connexions avec les clients.

    Pour mettre à jour une règle SSL régionale, vous pouvez utiliser la commande suivante :

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    Remplacez les éléments suivants :

    • SSL_POLICY_NAME : nom de la règle SSL
    • REGION : région de la règle SSL

  • Pour lister tous les proxys SSL cibles d'un projet qui ne sont pas associés à une règle SSL, exécutez la commande suivante :

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Remplacez les éléments suivants :

    • PROJECT_ID : nom de l'ID du projet
    • YOUR_API_KEY : votre clé API.
    • YOUR_ACCESS_TOKEN : votre jeton d'accès

    Pour associer une règle SSL à ces proxys cibles, consultez Associer une règle SSL existante à un proxy cible existant.

  • Vous pouvez également utiliser l'inventaire des éléments cloud ou Google APIs Explorer pour rechercher et mettre à jour les ressources qui ne répondent pas à vos exigences de sécurité.

    Par exemple, pour rechercher la liste des proxys SSL cibles qui ne sont pas associés à une règle SSL, vous pouvez suivre les étapes suivantes dans inventaire des éléments cloud :

    1. Dans la console Google Cloud , accédez à la page Inventaire des éléments.

      Accéder à l'inventaire des éléments

    2. Cliquez sur Requête sur un élément.

    3. Dans le champ Modifier la requête, saisissez la requête suivante, puis cliquez sur Exécuter.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. Pour associer une règle SSL à ces proxys cibles, consultez Associer une règle SSL existante à un proxy cible existant.

    5. Exécutez la requête dans l'inventaire des éléments cloud jusqu'à ce que vous obteniez une réponse vide.

Limites

Consultez Proxys cibles.

Documentation de référence de l'API

Pour une description des propriétés et des méthodes disponibles lorsque vous utilisez des règles SSL via l'API REST, consultez les pages suivantes :

Produit Documentation de l'API
  • Équilibreur de charge d'application externe global
  • Équilibreur de charge d'application classique
  • Équilibreur de charge d'application interne interrégional
  • Équilibreur de charge réseau proxy externe global
  • Équilibreur de charge réseau proxy classique
 sslPolicies
  • Équilibreur de charge d'application externe régional
  • Équilibreur de charge d'application interne régional
 regionSslPolicies

Documentation de référence sur la gcloud CLI

Pour Google Cloud CLI, consultez les ressources suivantes :

Étapes suivantes