La compatibilité SSL d'App Engine offre des points de terminaison SSL répartis dans le monde entier et un équilibrage de charge intégré pour diffuser votre application auprès d'un public mondial de manière sécurisée, fiable et rapide.
Par défaut, les connexions HTTPS de votre domaine personnalisé sont activées automatiquement à l'aide de certificats SSL gérés. Après avoir mappé un domaine personnalisé à votre application et mis à jour vos enregistrements DNS, App Engine provisionne un certificat SSL géré, le renouvelle et le révoque lorsque vous supprimez le domaine personnalisé de votre application.
Avant de commencer
Assurez-vous d'avoir préalablement configuré votre domaine personnalisé dans le projet App Engine.
Si vous utilisez Cloud Load Balancing et des NEG sans serveur pour acheminer le trafic vers votre application App Engine, nous vous recommandons de mapper votre domaine personnalisé à l'équilibreur de charge plutôt que de le mapper directement à votre application. Nous vous recommandons également d'utiliser des certificats SSL créés pour l'équilibreur de charge. Cela dispense d'avoir à gérer des certificats SSL distincts pour chaque application sans serveur. De plus, avec Cloud Load Balancing, vous pouvez définir des règles SSL contrôlant les fonctionnalités SSL que votre équilibreur de charge négocie avec les clients. Pour en savoir plus, consultez les pages suivantes :
Tenez compte de la limitation suivante :
- Nous vous recommandons d'utiliser des contrôles d'entrée afin que votre application ne reçoive que les requêtes envoyées par l'équilibreur de charge (et par le VPC le cas échéant). Sinon, les utilisateurs peuvent se servir de l'URL App Engine de votre application pour contourner l'équilibreur de charge, les règles de sécurité Google Cloud Armor, les certificats SSL et les clés privées qui sont transmises via l'équilibreur de charge.
Valider un certificat géré
Une fois que vous avez configuré votre domaine personnalisé et mis à jour les enregistrements DNS, un certificat SSL géré est automatiquement fourni en quelques minutes. La sélection de l'autorité de certification est automatique ; Le certificat géré est signé soit par Google Trust Services (GTS), soit par Encrypt.
Pour vérifier que le certificat a été provisionné, procédez comme suit :
-
Dans la console Google Cloud, accédez à App Engine > Paramètres > Domaines personnalisés :
-
La sécurité SSL affiche l'option géré par Google.
Résoudre les problèmes liés aux certificats SSL gérés
Vous devrez peut-être mettre à jour les enregistrements DNS de votre domaine personnalisé pour valider le nom de domaine. App Engine ne peut pas provisionner des certificats pour des domaines non validés.
Vous pouvez vérifier l'état du certificat avec l'API Admin à l'aide d'une requête AuthorizedCertificate.GET.
Si un certificat géré n'a pas été provisionné en raison de l'indisponibilité des enregistrements DNS, le champ
ManagedCertificate.ManagementStatus
peut avoir la valeurFAILED_RETRYING_NOT_VISIBLE
. Vérifiez que vos enregistrements DNS sont à jour, attendez quelques minutes, puis réessayez. Un délai de 24 heures est parfois nécessaire pour que les enregistrements DNS soient disponibles.Si l'état indique
FAILED_PERMANENT
, cela signifie que toutes les tentatives de renouvellement ont échoué. Vérifiez les paramètres DNS, puis mettez à jour le mappage de domaine personnalisé en suivant la procédure permettant de passer à des certificats SSL gérés.
Passer à des certificats SSL gérés
Avant de passer à des certificats SSL gérés par Google, notez que ceux-ci ne sont pas compatibles avec les mappages génériques.
Si vous utilisez des sous-domaines et que le certificat est émis par Let's Encrypt, la limite est de 50 certificats gérés par semaine pour chaque domaine de base. Si vous atteignez cette limite, App Engine continue d'essayer de délivrer des certificats gérés jusqu'à ce que toutes les requêtes soient traitées.
Pour passer de vos propres certificats SSL à des certificats SSL gérés par Google, ou pour ajouter des certificats SSL gérés à une application existante avec un domaine personnalisé, mettez à jour le mappage de votre domaine en procédant comme suit :
-
Dans la console Google Cloud, accédez à App Engine > Paramètres > Domaines personnalisés :
-
Sélectionnez le domaine que vous souhaitez sécuriser, puis cliquez sur Activer la sécurité gérée.
Désactiver les certificats SSL gérés
Pour désactiver les certificats SSL gérés, procédez comme suit :
-
Dans la console Google Cloud, accédez à App Engine > Paramètres > Domaines personnalisés :
-
Sélectionnez le domaine et cliquez sur Désactiver la sécurité gérée.
Utiliser vos propres certificats SSL
Plutôt que des certificats SSL gérés, vous pouvez utiliser votre propre certificat. Si ce certificat n'a pas de preuve de transparence, votre application peut afficher des avertissements SSL dans Chrome du fait de l'existence de règles exigeant ce type de preuve. Pour en savoir plus sur les preuves de transparence des certificats et sur la manière de s'y conformer, consultez la page Appliquer la transparence des certificats.
Pour utiliser et gérer vos propres certificats SSL plutôt que des certificats gérés par Google, procédez comme suit :
Assurez-vous d'avoir préalablement configuré votre domaine personnalisé dans le projet App Engine.
Obtenez un certificat pour le domaine auprès de l'autorité de certification de votre choix. La procédure exacte peut varier suivant l'autorité. Consultez la section Obtenir un certificat pour en connaître les étapes types.
Convertissez les fichiers de la clé privée et du certificat SSL dans des formats compatibles avec App Engine. Avant de pouvoir importer vos fichiers, vous devez convertir votre clé privée en une clé privée RSA et concaténer vos certificats SSL en un seul fichier. Pour en savoir plus, consultez la section Convertir des clés privées et concaténer des certificats SSL.
Vérifiez que vous disposez des autorisations appropriées dans la console Google Cloud et que vous avez validé la propriété (étape 3) de tous les domaines associés ou de leurs domaines parents. Exemple :
- Si le certificat concerne
www.example.com
, vous pouvez valider la propriété dewww.example.com
ou deexample.com
. - Si le certificat concerne
www.example.com
etsub.example.com
, vous pouvez valider la propriété dewww.example.com
et desub.example.com
, ou deexample.com
. - Si le certificat concerne
*.example.com
, vous pouvez valider la propriété deexample.com
.
- Si le certificat concerne
Importez la clé privée et le certificat SSL, puis mappez le domaine à l'application :
-
Dans la console Google Cloud, accédez à App Engine > Paramètres > Certificats SSL :
-
Cliquez sur Upload a new certificate (Importer un nouveau certificat).
- Importez le certificat SSL concaténé sous la forme
PEM encoded X.509 public key certificate
(par exemple,concat.crt
). Importez ensuite la clé privée RSA sous la forme Clé privée RSA non chiffrée encodée au format PEM (par exemple,myserver.key.pem
). - Cliquez sur Importer. Chaque certificat SSL que vous importez est visible et disponible pour tous vos autres projets Google Cloud. Vous n'avez donc pas besoin d'importer le même certificat à plusieurs reprises.
- Sélectionnez le certificat que vous souhaitez attribuer à un domaine, puis cliquez sur Enregistrer afin d'utiliser le protocole SSL pour ce domaine.
-
Testez les modifications en accédant au domaine depuis votre navigateur en utilisant
https
. Par exemple :https://www.example.com
.
Transférer les mappages d'un certificat actif vers un nouveau certificat
Lorsqu'un certificat approche de sa date d'expiration, vous devez en importer un nouveau et transférer les mappages existants de l'ancien certificat vers le nouveau. La procédure suivante suppose que le certificat existant n'a pas encore expiré et qu'il est actuellement actif sur votre domaine personnalisé.
Pour transférer des mappages à partir d'un certificat actif, procédez comme suit :
Obtenez un nouveau certificat pour votre domaine auprès de l'autorité de certification de votre choix. Pour connaître les étapes à suivre, consultez la section Obtenir un certificat.
Convertissez les fichiers de la clé privée et du certificat SSL dans des formats compatibles avec App Engine. Pour en savoir plus, consultez la section Convertir des clés privées et concaténer des certificats SSL.
Importez la clé privée RSA et le certificat SSL concaténé :
-
Importez le certificat SSL sur la page SSL certificates (Certificats SSL).
Accéder à la page "Certificats SSL"-
Cliquez sur Upload a new certificate (Importer un nouveau certificat).
- Importez le certificat SSL concaténé sous Certificat de clé publique X.509 encodée au format PEM (par exemple,
concat.crt
). Importez ensuite la clé privée RSA sous Clé privée RSA non chiffrée encodée au format PEM (par exemple,myserver.key.pem
). - Cliquez sur Importer.
-
- Sélectionnez le certificat que vous venez d'ajouter dans la liste, puis cliquez sur le domaine diffusé par l'ancien certificat.
- Cliquez sur Enregistrer pour transférer les mappages de l'ancien certificat vers le nouveau.
-
Obtenir un certificat
Le processus d'obtention d'un certificat SSL varie en fonction de l'autorité de certification que vous utilisez. Vous devrez peut-être adapter légèrement les instructions fournies ici. En règle générale, chaque autorité de certification fournit des consignes pour vous guider tout au long du processus.
Pour obtenir un certificat à utiliser avec votre application App Engine, procédez comme suit :
Générez la clé privée et une requête de signature de certificat (CSR) à l'aide de l'outil openssl :
Exécutez la commande suivante à partir du répertoire dans lequel vous souhaitez créer le fichier
server.csr
:openssl req -nodes -newkey rsa:2048 -keyout [MY_PRIVATE_KEY].key -out [MY_CSR].csr
où :
[MY_PRIVATE_KEY].key
est le fichier généré dans lequel la clé privée est stockée. Exemple :myserver.key
[MY_CSR].csr
est le fichier généré pour votre requête de signature de certificat. Exemple :server.csr
Lorsque vous y êtes invité, saisissez les informations suivantes :
- Votre code pays à deux caractères, par exemple :
US
pour les États-Unis - Le nom de votre ville
- Le nom de votre entreprise (utilisez votre propre nom si vous n'avez pas d'entreprise)
- Votre unité organisationnelle (ou
NA
si vous n'en avez pas) - Un nom commun qui représente votre domaine, par exemple :
www.example.com
- Votre adresse e-mail
Vous n'avez pas besoin de renseigner les autres informations. Elles sont toutes facultatives.
- Votre code pays à deux caractères, par exemple :
Déterminez l'autorité de certification qui vous convient, puis achetez un certificat. Par exemple, vous pouvez utiliser SSLMate, Thawte, Comodo ou toute autre autorité de certification.
Pour en savoir plus sur les types de certificats compatibles, consultez la section Compatibilité d'App Engine avec les certificats SSL.
Lorsque l'autorité de certification demande le contenu de votre fichier CSR, suivez ses instructions pour copier et coller le contenu du fichier
.csr
que vous avez généré précédemment. Exemple :server.csr
.Suivez les instructions lorsque votre autorité de certification demande l'approbation du propriétaire de domaine.
Une fois que vous avez fourni l'approbation du propriétaire du domaine, l'autorité de certification vous envoie le certificat, qui est généralement un fichier ZIP. Décompressez ce fichier dans un répertoire de travail afin de pouvoir concaténer ces certificats pour les importer dans App Engine.
Convertir des clés privées et concaténer des certificats SSL
Vous devez convertir votre clé privée en clé privée RSA et concaténer tous vos certificats SSL avant de pouvoir importer ces éléments dans App Engine.
Convertissez le fichier de clé privée que vous avez généré précédemment en clé privée RSA non chiffrée. Par exemple, vous pouvez exécuter la commande
openssl rsa
suivante :openssl rsa -in [MY_PRIVATE_KEY].key -out [MY_RSA_KEY].key.pem
où :
[MY_PRIVATE_KEY].key
est le fichier généré dans lequel la clé privée est stockée. Exemple :myserver.key
[MY_RSA_KEY].key
est le fichier généré qui contient la clé privée RSA non chiffrée. Exemple :myserver.key.pem
Exemple :
openssl rsa -in myserver.key -out myserver.key.pem
Concaténez tous les fichiers
.crt
provenant de votre autorité de certification en un seul fichier, à l'aide de la commande suivante :cat [MY_DOMAIN_CERT].crt [MY_SecureServerCA].crt [MY_TrustCA].crt [MY_TrustExternalCARoot].crt > [MY_CONCAT_CERT].crt
Où :
[MY_DOMAIN_CERT].crt
est le certificat du domaine. Exemple :www_example_com.crt
[MY_SecureServerCA].crt
,[MY_TrustCA].crt
et[MY_TrustExternalCARoot].crt
sont les autres fichiers de certificats fournis par votre autorité de certification.[MY_CONCAT_CERT].crt
est le fichier concaténé qui contient tous les fichiers de certificats.crt
provenant de l'autorité de certification. Exemple :concat.crt
Exemple :
cat www_example_com.crt AddTrustExternalCARoot.crt RSADomainValidationSecureServerCA.crt RSAAddTrustCA.crt > concat.crt
Validez le certificat SSL et la clé privée comme suit :
Pour vérifier que la clé privée et le certificat correspondent, vous pouvez exécuter les commandes
openssl x509
etopenssl rsa
. Exemples :openssl x509 -noout -modulus -in concat.crt | openssl md5 openssl rsa -noout -modulus -in myserver.key.pem | openssl md5
Les commandes openssl x509 et openssl rsa doivent renvoyer le même résultat.
Pour vérifier qu'un certificat et sa chaîne d'autorité de certification sont valides, utilisez la commande openssl verify. Exemple :
openssl verify -verbose -CAfile concat.crt concat.crt
Lorsque vous êtes prêt, vous pouvez importer la clé privée RSA et les certificats concaténés dans App Engine.
Compatibilité d'App Engine avec les certificats SSL
App Engine est compatible avec les types de certificats suivants :
- Certificat de domaine unique ou de nom d'hôte
- Certificat autosigné
- Caractère générique
- Certificat SAN ou de domaine multiple
Vos certificats et clés sont soumis aux restrictions suivantes :
- La clé privée et le certificat doivent être importés au format PEM.
- Les clés privées ne doivent pas être chiffrées.
- Un fichier de certificat peut contenir cinq certificats maximum. Ce nombre inclut les certificats en chaîne et intermédiaires.
- Tous les noms de sujet indiqués sur le certificat de l'hôte doivent correspondre aux domaines validés de l'utilisateur ou être des sous-domaines de ceux-ci.
- Les clés privées doivent utiliser le chiffrement RSA.
- Le module de clé maximal autorisé est de 2 048 bits.
Si le certificat de l'hôte nécessite un certificat intermédiaire ou en chaîne (comme c'est le cas avec de nombreuses autorités de certification), vous devrez ajouter le certificat intermédiaire ou en chaîne à la fin du fichier de certificat public.
Certaines fonctionnalités d'App Engine utilisent des sous-domaines particuliers. Par exemple, une application peut se servir de sous-domaines pour s'adresser à des services d'application ou à différentes versions de votre application. Pour les utiliser avec SSL, il peut s'avérer judicieux de configurer un certificat SAN ou générique. Les certificats génériques n'acceptent qu'un seul niveau de sous-domaine.
Supprimer des certificats SSL personnalisés
Pour arrêter d'utiliser un certificat SSL personnalisé, procédez comme suit :
Dans la console Google Cloud, accédez à la page des paramètres des certificats SSL App Engine.
Cliquez sur le certificat que vous souhaitez supprimer de votre domaine.
Désélectionnez le nom de domaine pour lequel vous ne souhaitez plus utiliser le certificat SSL, puis cliquez sur Enregistrer.
Utiliser des en-têtes Strict Transport Security
Pour des raisons de sécurité, toutes les applications doivent inciter les clients à utiliser des connexions https
. Pour indiquer au navigateur de privilégier https
à http
, utilisez l'en-tête Strict-Transport-Security
.
Afficher les versions et algorithmes de chiffrement TLS activés
Installez le scanner réseau
nmap
sur votre ordinateur si ce n'est pas déjà fait. Consultez le site https://nmap.org/ pour obtenir des instructions d'installation.Pour savoir quelles versions et algorithmes de chiffrement TLS sont activés pour votre application, saisissez la commande suivante :
nmap -sV --script ssl-enum-ciphers -p 443 HOSTNAME
Remplacez
HOSTNAME
par le nom d'hôte de votre application. Vous pouvez utiliser votre domaine personnalisé ou le nom d'hôteappspot.com
créé par App Engine pour votre application. Exemple :nmap -sV --script ssl-enum-ciphers -p 443 example.uc.r.appspot.com
Désactiver les versions et algorithmes de chiffrement TLS
Si vous utilisez Cloud Load Balancing et des NEG sans serveur pour acheminer le trafic vers votre application App Engine, vous pouvez désactiver une version ou un algorithme de chiffrement TLS en définissant une règle de sécurité SSL qui spécifie les versions et algorithmes de chiffrement TLS pouvant être utilisés pour les connexions HTTPS ou SSL.