SSL-Richtlinien verwenden

SSL-Richtlinien geben eine Mindest-TLS-Version und eine Reihe von TLS-Funktionen an, die Cloud Load Balancing beim Aushandeln von SSL mit Clients verwendet. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.

SSL-Richtlinien werden von den folgenden Load-Balancern unterstützt:

  • Globale SSL-Richtlinien
    • Globaler externer Application Load Balancer
    • Klassischer Application Load Balancer
    • Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)
    • Regionenübergreifender interner Application Load Balancer
  • Regionale SSL-Richtlinien
    • Regionaler externer Application Load Balancer
    • Regionaler interner Application Load Balancer

Weitere Informationen zur Funktionsweise von SSL-Richtlinien finden Sie unter SSL-Richtlinien für SSL- und TLS-Protokolle.

Sie können SSL-Richtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen und verwalten, wenn Sie einen HTTPS- oder SSL-Load-Balancer erstellen, oder nach dem Erstellen des Load-Balancers.

SSL-Richtlinien erstellen

Sie können SSL-Richtlinien mit vordefinierten Profilen oder mit einem benutzerdefinierten Profil erstellen.

SSL-Richtlinie mit einem vordefinierten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem vordefinierten Profil:

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie einen Wert für Mindest-TLS-Version aus.

  6. Wählen Sie für Profil die Option Kompatibel, Modern, Eingeschränkt oder FIPS_202205 aus.

    • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
    • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

    Anschließend werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  7. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  8. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem vordefinierten Profil:

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie bei Region eine Region aus.

  6. Wählen Sie einen Wert für Mindest-TLS-Version aus.

  7. Wählen Sie für Profil die Option Kompatibel, Modern, Eingeschränkt oder FIPS_202205 aus.

    • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
    • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

    Anschließend werden die Bereiche Aktivierte Features und Deaktivierte Features für das Profil angezeigt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

gcloud

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem vordefinierten Profil.

  • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
  • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3}

Ersetzen Sie SSL_POLICY_NAME durch den Namen, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

Mit dem folgenden Befehl wird eine globale SSL-Richtlinie mit dem Profil MODERN erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Regionale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem vordefinierten Profil.

  • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
  • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION

Ersetzen Sie Folgendes:

  • SSL_POLICY_NAME: der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet
  • REGION: die Region für die SSL-Richtlinie

Mit dem folgenden Befehl wird eine regionale SSL-Richtlinie mit dem Profil COMPATIBLE erstellt:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

SSL-Richtlinie mit einem benutzerdefinierten Profil erstellen

Console

Globale SSL-Richtlinie

So erstellen Sie eine globale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Globale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie einen Wert für Mindest-TLS-Version aus.

  6. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Funktionen werden als Deaktivierte Funktionen angezeigt.

  7. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  8. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  9. Klicken Sie auf Erstellen.

Regionale SSL-Richtlinie

So erstellen Sie eine regionale SSL-Richtlinie mit einem benutzerdefinierten Profil:

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf Richtlinie erstellen.

  3. Klicken Sie unter Regionale SSL-Richtlinie auf die Schaltfläche Erstellen daneben. Die Seite Richtlinie erstellen wird angezeigt.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie bei Region eine Region aus.

  6. Wählen Sie einen Wert für Mindest-TLS-Version aus.

  7. Wählen Sie für Profil die Option Benutzerdefiniert aus. Alle Funktionen werden als Deaktivierte Funktionen angezeigt.

  8. Wählen Sie in der Liste Funktionen alle Chiffresammlungen aus, die Sie aktivieren möchten. Die aktivierten Chiffresammlungen werden anschließend unter Aktivierte Features aufgeführt.

  9. Wenn Sie die SSL-Richtlinie an ein Lastenausgleichsmodul anhängen möchten, klicken Sie auf Auf Ziele anwenden und wählen eine Weiterleitungsregel aus. Fügen Sie bei Bedarf weitere Ziele hinzu.

  10. Klicken Sie auf Erstellen.

gcloud

Wenn Sie eine SSL-Richtlinie mit dem Profil CUSTOM erstellen, werden nur die Funktionen unterstützt, die Sie im Befehl create angeben. Andere Funktionen werden nicht unterstützt.

Globale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer globalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Ersetzen Sie Folgendes:

  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
  • SSL_FEATURE_1 | 2 | 3: Die anzuwendenden benutzerdefinierten Funktionen

Im folgenden Beispiel wird eine globale SSL-Richtlinie erstellt, in der das Profil CUSTOM mit einer TLS-Mindestversion von 1.2 und den Funktionen TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 verwendet wird.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Regionale SSL-Richtlinie

Dies ist die allgemeine Syntax zum Erstellen einer regionalen SSL-Richtlinie mit einem benutzerdefinierten Profil:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Ersetzen Sie Folgendes:

  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
  • SSL_FEATURE_1 | 2 | 3: Die anzuwendenden benutzerdefinierten Funktionen
  • REGION: die Region, in der die SSL-Richtlinie angewendet werden soll

Im folgenden Beispiel wird eine regionale SSL-Richtlinie erstellt, in der das Profil CUSTOM mit einer TLS-Mindestversion von 1.2 und den Funktionen TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 und TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 verwendet wird.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

SSL-Richtlinien auflisten

Console

Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

Zu „SSL-Richtlinien“

Sie können eine Liste aller verfügbaren SSL-Richtlinien aufrufen. Das Feld Umfang gibt an, ob die SSL-Richtlinie global oder regional ist.

gcloud

Sowohl globale als auch regionale SSL-Richtlinien auflisten:

gcloud compute ssl-policies list

Nur globale SSL-Richtlinien auflisten:

gcloud compute ssl-policies list --global

Nur regionale SSL-Richtlinien auflisten:

gcloud compute ssl-policies list --regions REGION

Ersetzen Sie REGION durch die Region, in der die SSL-Richtlinie angewendet werden soll.

In einer SSL-Richtlinie verfügbare Features auflisten

Console

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf den Namen der Richtlinie, deren Features Sie aufrufen möchten. Die aktivierten und deaktivierten Chiffresammlungen werden aufgeführt.

gcloud

So listen Sie die in globalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features

So listen Sie die in regionalen SSL-Richtlinien verfügbaren Features auf:

gcloud compute ssl-policies list-available-features \
    --region REGION

Ersetzen Sie REGION durch die Region der SSL-Richtlinie, deren Funktionen Sie auflisten möchten.

SSL-Richtlinien ändern

Console

So ändern Sie eine globale oder eine regionale SSL-Richtlinie:

  1. Rufen Sie in der Google Cloud -Console die Seite SSL-Richtlinien auf.

    Zu „SSL-Richtlinien“

  2. Klicken Sie auf den Namen der Richtlinie, die Sie ändern möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Nehmen Sie die gewünschten Änderungen vor.

  5. Klicken Sie auf Speichern.

gcloud

Zum Ändern einer vorhandenen SSL-Richtlinie müssen Sie eines oder alle der Flags übergeben, die den zu aktualisierenden Feldern entsprechen. Nicht angegebene Felder werden nicht aktualisiert.

Wenn Sie die Funktionen aktualisieren, werden zuvor aktivierte Funktionen gelöscht und durch die neu angegebenen Funktionen ersetzt.

Globale SSL-Richtlinien

  • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
  • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES

Ersetzen Sie Folgendes:

  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
  • FEATURES: die Funktionen, die auf die SSL-Richtlinie angewendet werden sollen

Regionale SSL-Richtlinien

  • Für SSL-Richtlinien, die das Profil FIPS_202205 verwenden, muss eine Mindest-TLS-Version von 1.2 verwendet werden.
  • Wenn Sie die TLS-Mindestversion einer SSL-Richtlinie auf 1.3 festlegen, muss die Richtlinie das Profil RESTRICTED verwenden.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    [--custom-features FEATURES \]
    --region REGION

Ersetzen Sie Folgendes:

  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
  • FEATURES: die Funktionen, die auf die SSL-Richtlinie angewendet werden sollen
  • REGION: die Region der SSL-Richtlinie, deren Funktionen Sie aktualisieren möchten

Zielproxy mit einer SSL-Richtlinie erstellen

Console

Sie können einen Zielproxy mithilfe der Google Cloud Console erstellen, wenn Sie den Load-Balancer erstellen oder aktualisieren, wie in den folgenden Dokumenten gezeigt:

gcloud

So erstellen Sie einen SSL-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

Ersetzen Sie Folgendes:

  • TARGET_SSL_PROXY_NAME: der Name des Zielproxys
  • BACKEND_SERVICE_NAME: der Name des Backend-Dienstes.
  • SSL_CERTIFICATE_NAME: der Name des TLS-Zertifikats
  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

So erstellen Sie einen globalen HTTPS-Zielproxy mit einer globalen SSL-Richtlinie:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

Ersetzen Sie Folgendes:

  • TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys
  • SSL_CERTIFICATE_NAME: der Name des TLS-Zertifikats
  • URL_MAP_NAME: der Name des URL-Mappings
  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

So erstellen Sie einen regionalen HTTPS-Zielproxy mit einer regionalen SSL-Richtlinie:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Ersetzen Sie Folgendes:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys
  • SSL_CERTIFICATE_NAME: der Name des TLS-Zertifikats
  • URL_MAP_NAME: der Name des URL-Mappings
  • MAP_REGION: der Name der Google Cloud-Region, in der sich die URL-Zuordnung befindet
  • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
  • REGION: die Region der SSL-Richtlinie, mit der Sie den HTTPS-Zielproxy erstellen möchten

Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen

Console

Zielproxys können in der Google Cloud Console nicht geändert werden. Verwenden Sie stattdessen die gcloud CLI oder die API.

gcloud

Sie können die folgenden Befehle verwenden, um eine vorhandene SSL-Richtlinie an einen SSL-Proxy oder HTTPS-Proxy anzuhängen.

  • So finden Sie alle Projekte in Ihrer Organisation, die Ziel-SSL-Proxys haben:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation, in der die Ziel-SSL-Proxys gesucht werden sollen.

  • So finden Sie alle Projekte in Ihrer Organisation, die HTTPS-Zielproxys haben:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation, in der Sie nach HTTPS-Ziel-Proxys suchen möchten.

  • Verwenden Sie die Methode targetSslProxies.aggregatedList, um alle globalen Ziel-SSL-Proxys in einem Projekt aufzulisten. Verwenden Sie dann den Abfrageparameter filter, um nach Ziel-SSL-Proxys zu suchen, auf die keine SSL-Richtlinie verweist.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name der Projekt-ID
    • YOUR_API_KEY: Ihr API-Schlüssel
    • YOUR_ACCESS_TOKEN: Ihr Zugriffstoken

  • Verwenden Sie die Methode targetHttpsProxies.aggregatedList, um alle globalen und regionalen HTTPS-Zielproxys in einem Projekt aufzulisten, wobei der Abfrageparameter includeAllScopes auf true festgelegt ist. Verwenden Sie dann den Abfrageparameter filter, um nach Ziel-HTTPS-Proxys zu suchen, auf die keine SSL-Richtlinie verweist.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name der Projekt-ID
    • YOUR_API_KEY: Ihr API-Schlüssel
    • YOUR_ACCESS_TOKEN: Ihr Zugriffstoken

  • So hängen Sie eine vorhandene globale SSL-Richtlinie an einen Ziel-SSL-Proxy an:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ersetzen Sie Folgendes:

    • TARGET_SSL_PROXY_NAME: der Name des Zielproxys
    • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

  • So hängen Sie eine vorhandene globale SSL-Richtlinie an einen globalen Ziel-HTTPS-Proxy an:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ersetzen Sie Folgendes:

    • TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys
    • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

  • So hängen Sie eine vorhandene regionale SSL-Richtlinie an einen regionalen Ziel-HTTPS-Proxy an:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    Ersetzen Sie Folgendes:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys
    • SSL_POLICY_NAME: Der Name, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.
    • REGION: die Region der SSL-Richtlinie, die Sie an den regionalen HTTPS-Zielproxy anhängen möchten

Wenn Sie eines der Flags --ssl-policy oder --clear-ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Das Flag --clear-ssl-policy wird unter SSL-Richtlinie von einem Zielproxy löschen beschrieben.

API

Verwenden Sie die Methode targetHttpsProxies.patch, um eine globale SSL-Richtlinie für einen globalen Zielproxy festzulegen.

Verwenden Sie die Methode regionTargetHttpsProxies.patch, um eine regionale SSL-Richtlinie für einen regionalen Zielproxy festzulegen.

SSL-Richtlinie von einem Zielproxy löschen

Console

Zielproxys können in der Google Cloud Console nicht geändert werden. Verwenden Sie stattdessen die gcloud CLI oder die API.

gcloud

Sie können die folgenden Befehle verwenden, um eine SSL-Richtlinie von einem SSL-Proxy oder HTTPS-Proxy zu entfernen. Wenn Sie keine andere SSL-Richtlinie an den Zielproxy anhängen, verwendet der Load-Balancer die Standard-SSL-Richtlinie. Die Verwendung des Flags --clear-ssl-policy entspricht dem Austausch einer SSL-Richtlinie durch die Standard-SSL-Richtlinie.

So entfernen Sie eine globale SSL-Richtlinie von einem Ziel-SSL-Proxy:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Ersetzen Sie TARGET_SSL_PROXY_NAME durch den Namen des Zielproxys.

So entfernen Sie eine globale SSL-Richtlinie von einem globalen HTTPS-Zielproxy:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Ersetzen Sie TARGET_HTTPS_PROXY_NAME durch den Namen des Zielproxys.

So entfernen Sie eine regionale SSL-Richtlinie von einem regionalen Ziel-HTTPS-Proxy:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Ersetzen Sie Folgendes:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys
  • REGION: die Region der SSL-Richtlinie, die Sie an den regionalen HTTPS-Zielproxy anhängen möchten

Wenn Sie im Update-Befehl das Flag --clear-ssl-policy angeben, wird die SSL-Richtlinie vom Proxy entfernt.

Wenn Sie eines der Flags --clear-ssl-policy und --ssl-policy in einer Zielproxy-Aktualisierung nicht angeben, z. B. beim Aktualisieren eines SSL-Zertifikats, bleibt die SSL-Richtlinie unverändert. Eine Beschreibung des Flags --ssl-policy finden Sie im Abschnitt Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.

SSL-Richtlinien verwalten

Wenn Sie benutzerdefinierte Einschränkungen verwenden, um TLS-Funktionen zu beschränken, müssen Sie manuell prüfen, ob vorhandene SSL-Richtlinien, die an Ziel-SSL-Proxys und Ziel-HTTPS-Proxys angehängt sind, TLS-konform sind.

Mit den folgenden Beispielen können Sie SSL-Richtlinien finden und aktualisieren, die nicht Ihren Sicherheitsanforderungen entsprechen.

  • So finden Sie alle Projekte in Ihrer Organisation, die SSL-Richtlinienressourcen haben:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation, in der alle Projekte mit SSL-Richtlinienressourcen gesucht werden sollen.

  • Verwenden Sie die Methode sslPolicies.aggregatedList, um alle globalen und regionalen SSL-Richtlinien in einem Projekt aufzulisten, wobei der Abfrageparameter includeAllScopes auf true festgelegt ist. Verwenden Sie dann den Abfrageparameter filter, um nach SSL-Richtlinien zu suchen, die nicht Ihren Sicherheitszielen entsprechen.

    Wenn Sie beispielsweise SSL-Richtlinien mit einer TLS-Version unter 1.2 finden möchten, verwenden Sie den Filter minTlsVersion="TLS_1_0" oder minTlsVersion="TLS_1_1":

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name der Projekt-ID
    • YOUR_API_KEY: Ihr API-Schlüssel
    • YOUR_ACCESS_TOKEN: Ihr Zugriffstoken

    Informationen zum Abrufen Ihres API-Schlüssels finden Sie unter API-Schlüssel verwalten. Verwenden Sie die Methode projects.serviceAccounts.generateAccessToken, um Ihr Zugriffstoken zu erhalten.

    Aktualisieren Sie dann die SSL-Richtlinien, die Ihre Mindestanforderung für TLS nicht erfüllen.

    Mit dem folgenden Befehl können Sie eine globale SSL-Richtlinie aktualisieren:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    Ersetzen Sie SSL_POLICY_NAME durch den Namen, den Sie der SSL-Richtlinie zugewiesen haben, die die TLS-Funktionen definiert, die Ihr Load-Balancer beim Aushandeln von Verbindungen mit Clients verwendet.

    Mit dem folgenden Befehl können Sie eine regionale SSL-Richtlinie aktualisieren:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    Ersetzen Sie Folgendes:

    • SSL_POLICY_NAME: Der Name der SSL-Richtlinie.
    • REGION: die Region für die SSL-Richtlinie

  • Führen Sie den folgenden Befehl aus, um alle Ziel-SSL-Proxys in einem Projekt aufzulisten, die nicht mit einer SSL-Richtlinie verknüpft sind:

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name der Projekt-ID
    • YOUR_API_KEY: Ihr API-Schlüssel
    • YOUR_ACCESS_TOKEN: Ihr Zugriffstoken

    Informationen zum Anhängen einer SSL-Richtlinie an diese Zielproxys finden Sie unter Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.

  • Sie können auch Cloud Asset Inventory oder den Google APIs Explorer verwenden, um Ressourcen zu finden und zu aktualisieren, die nicht Ihren Sicherheitsanforderungen entsprechen.

    Wenn Sie beispielsweise eine Liste von SSL-Zielproxys aufrufen möchten, die nicht mit einer SSL-Richtlinie verknüpft sind, können Sie in Cloud Asset Inventory so vorgehen:

    1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

      Zu Asset Inventory

    2. Klicken Sie auf Asset-Abfrage.

    3. Geben Sie im Feld Abfrage bearbeiten die folgende Abfrage ein und klicken Sie auf Ausführen.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. Informationen zum Anhängen einer SSL-Richtlinie an diese Zielproxys finden Sie unter Vorhandene SSL-Richtlinie an einen vorhandenen Zielproxy anhängen.

    5. Führen Sie die Abfrage in Cloud Asset Inventory aus, bis Sie eine leere Antwort erhalten.

Limits

Weitere Informationen finden Sie unter Zielproxys.

API-Referenz

Eine Beschreibung der Attribute und Methoden, die Sie für SSL-Richtlinien über die REST API nutzen können, finden Sie unter:

Produkt API-Dokumentation
  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Regionsübergreifender interner Application Load Balancer
  • Globaler externer Proxy-Network Load Balancer
  • Klassischer Proxy-Network Load Balancer
 sslPolicies
  • Regionaler externer Application Load Balancer
  • Regionaler interner Application Load Balancer
 regionSslPolicies

Referenz zur gcloud-Befehlszeile

Informationen zur Google Cloud CLI finden Sie hier:

Nächste Schritte