SSL/TLS è il protocollo crittografico più utilizzato su internet. Tecnicamente, TLS è il successore di SSL, anche se i termini vengono a volte usati in modo intercambiabile, come in questo documento.
Transport Layer Security (TLS) viene utilizzato per criptare le informazioni durante l'invio su una rete, garantendo la privacy tra un client e un server o un bilanciamento del carico. Un bilanciatore del carico delle applicazioni o un bilanciatore del carico di rete proxy che utilizza SSL richiede almeno una chiave privata e un certificato SSL.
Metodi di configurazione dei certificati
Google Cloud offre tre metodi di configurazione dei certificati per i bilanciatori del carico delle applicazioni che utilizzano proxy HTTPS di destinazione e per i bilanciatori del carico di rete proxy che utilizzano proxy SSL di destinazione.
Il proxy di destinazione fa riferimento ai certificati SSL di Compute Engine: con questo metodo, il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 15 risorse di certificati SSL di Compute Engine. Ogni risorsa del certificato SSL di Compute Engine contiene la chiave privata, il certificato corrispondente e, facoltativamente, i certificati CA.
Il proxy di destinazione fa riferimento a una mappa di certificati di Gestore certificati: con questo metodo, il proxy di destinazione del bilanciatore del carico fa riferimento a una singola mappa di certificati. Per impostazione predefinita, la mappa dei certificati supporta migliaia di voci e può essere scalata a milioni di voci. Ogni voce contiene i dati della chiave privata e del certificato.
Il proxy di destinazione fa riferimento direttamente ai certificati di Gestione certificati: con questo metodo, il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 100 certificati di Gestione certificati.
Supporto del bilanciatore del carico
La tabella seguente mostra i metodi di configurazione dei certificati supportati da ciascun bilanciatore del carico.
| Bilanciatore del carico | Metodo di configurazione del certificato: il proxy di destinazione fa riferimento a… | |||
|---|---|---|---|---|
| Certificati SSL di Compute Engine | Una mappa di certificati di Gestore certificati | Certificati di Gestore certificati direttamente | ||
| Bilanciatori del carico delle applicazioni (proxy HTTPS di destinazione) | ||||
| Bilanciatore del carico delle applicazioni esterno globale | Supporta
certificati
globali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
| Bilanciatore del carico delle applicazioni classico | Supporta
certificati
globali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
| Bilanciatore del carico delle applicazioni esterno regionale | Supporta
i certificati
regionali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
| Bilanciatore del carico delle applicazioni interno regionale | Supporta
i certificati
regionali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
| Bilanciatore del carico delle applicazioni interno tra regioni |
Autogestito Gestito da Google |
|||
| Bilanciatori del carico di rete proxy (proxy SSL di destinazione) | ||||
| Bilanciatore del carico di rete proxy esterno globale | Supporta
certificati
globali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
| Bilanciatore del carico di rete proxy classico | Supporta
certificati
globali autogestiti gestiti da Google |
Autogestito Gestito da Google |
||
Regole del metodo di configurazione
Google Cloud applica le seguenti regole del metodo di configurazione dei certificati:
Per i bilanciatori del carico che supportano sia i certificati SSL di Compute Engine sia le mappe dei certificati di Certificate Manager: il proxy di destinazione del bilanciatore del carico può fare riferimento contemporaneamente a una mappa dei certificati e a uno o più certificati SSL di Compute Engine; tuttavia, in questo caso, tutti i certificati SSL di Compute Engine vengono ignorati e il bilanciatore del carico utilizza solo i certificati della mappa dei certificati.
Per i bilanciatori del carico che supportano sia i certificati SSL di Compute Engine sia i certificati di Certificate Manager collegati direttamente: il proxy di destinazione del bilanciatore del carico può essere configurato solo per fare riferimento a un massimo di 15 certificati SSL di Compute Engine o a un massimo di 100 certificati di Certificate Manager, non a una combinazione di entrambi.
Tipi di certificati
Google Cloud supporta sia i certificati autogestiti che quelli gestiti da Google.
Certificati SSL con gestione indipendente
I certificati SSL autogestiti sono certificati che ottieni, esegui il provisioning e rinnovi personalmente. I certificati autogestiti possono essere di uno dei seguenti tipi di certificato di chiave pubblica:
- Convalida del dominio (DV)
- Convalida dell'organizzazione (OV)
- Certificati Extended Validation (EV)
Puoi creare certificati SSL autogestiti utilizzando:
Risorse per i certificati SSL di Compute Engine: per saperne di più, consulta Utilizzare certificati SSL autogestiti.
Certificate Manager: per saperne di più, consulta la panoramica del deployment nella documentazione di Certificate Manager.
Certificati SSL gestiti da Google
I certificati SSL gestiti da Google sono certificati che Google Cloud vengono ottenuti, gestiti e rinnovati automaticamente. I certificati gestiti da Google sono sempre certificati di convalida del dominio (DV). Non dimostrano l'identità di un'organizzazione o di un privato associato al certificato.
I certificati gestiti da Google che utilizzano caratteri jolly sono supportati solo da Gestore certificati quando viene utilizzata l'autorizzazione DNS.
Puoi creare certificati SSL gestiti da Google utilizzando:
- Risorse dei certificati SSL di Compute Engine: solo le risorse globali di Compute Engine
sslCertificatessupportano i certificati SSL gestiti da Google;regionSslCertificatesnon li supportano. I certificati SSL di Compute Engine globali supportano solo certificati gestiti da Google attendibili pubblicamente. Per ulteriori informazioni, vedi Utilizzare i certificati SSL gestiti da Google. - Certificate Manager: i certificati Certificate Manager (sia globali che regionali) supportano sia i certificati gestiti da Google attendibili pubblicamente sia quelli attendibili privatamente. Per saperne di più, consulta la sezione Certificati nella documentazione di Certificate Manager.
Tipi di chiavi supportati
I bilanciatori del carico supportano certificati che utilizzano chiavi private di diversi tipi di chiavi. La tabella seguente mostra il supporto del tipo di chiave a seconda che i certificati siano globali o regionali e che siano autogestiti o gestiti da Google.|
Tipo di certificato SSL arrow_forward Tipo di chiave arrow_downward |
Certificati SSL di Compute Engine | Certificati SSL di Certificate Manager | ||||
|---|---|---|---|---|---|---|
| Globale | Regionale | Globale e regionale | ||||
| Autogestito | Gestito da Google e attendibile pubblicamente | Autogestito | Autogestito | Gestito da Google e attendibile pubblicamente | Gestito da Google con attendibilità privata | |
| RSA-2048 | ||||||
| RSA-3072 | ||||||
| RSA-4096 | ||||||
| ECDSA P-256 | ||||||
| ECDSA P-384 | ||||||
Più certificati SSL
Un bilanciatore del carico delle applicazioni o un bilanciatore del carico di rete proxy può ospitare due o più certificati SSL contemporaneamente quando il proxy di destinazione è configurato utilizzando un metodo di configurazione dei certificati supportato. Come best practice, utilizza Certificate Manager quando sono necessari più certificati SSL.
Per i bilanciatori del carico che supportano i certificati SSL di Compute Engine: il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 15 certificati SSL di Compute Engine. La prima risorsa del certificato SSL di Compute Engine a cui viene fatto riferimento è il certificato predefinito (principale) per il proxy di destinazione.
Per i bilanciatori del carico che supportano una mappa di certificati di Certificate Manager: il proxy di destinazione del bilanciatore del carico fa riferimento a una singola mappa di certificati. La mappa di certificati supporta migliaia di voci. Puoi configurare quale voce del certificato è il certificato predefinito (principale) per la mappa dei certificati.
Per i bilanciatori del carico che supportano il riferimento diretto ai certificati di Gestore certificati: il proxy di destinazione del bilanciatore del carico può fare riferimento a un massimo di 100 certificati di Gestore certificati. La prima risorsa del certificato SSL di Certificate Manager a cui viene fatto riferimento è il certificato predefinito (principale) per il proxy di destinazione.
Per ulteriori informazioni, vedi:
Proxy di destinazione e certificati SSL nella documentazione sul bilanciamento del carico.
Quote e limiti delle risorse nella documentazione di Certificate Manager.
Procedura di selezione dei certificati
Il seguente processo di selezione dei certificati si applica ai bilanciatori del carico i cui proxy di destinazione fanno riferimento a più certificati SSL di Compute Engine o a più certificati Certificate Manager.
La procedura di selezione dei certificati è diversa se il proxy di destinazione di un bilanciatore del carico fa riferimento a una mappa dei certificati di Certificate Manager. Per informazioni dettagliate sulla procedura di selezione dei certificati di una mappa di certificati, consulta Logica di selezione dei certificati nella documentazione di Gestore certificati.
Dopo che un client si connette al bilanciatore del carico, il client e il bilanciatore del carico
negoziano una sessione TLS. Durante la negoziazione della sessione TLS, il client invia al bilanciatore del carico un elenco di crittografie TLS supportate (in ClientHello). Il bilanciatore del carico seleziona un certificato il cui algoritmo della chiave pubblica è compatibile con il client. Il client può anche inviare un nome host di indicazione del nome server (SNI) al
bilanciatore del carico nell'ambito di questa negoziazione. A volte i dati del nome host SNI vengono utilizzati
per aiutare il bilanciatore del carico a scegliere il certificato da inviare al client.
Se il proxy di destinazione del bilanciatore del carico fa riferimento a un solo certificato, questo viene utilizzato e il valore del nome host SNI inviato dal client non è pertinente.
Se il proxy di destinazione del bilanciatore del carico fa riferimento a due o più certificati, il bilanciatore del carico utilizza la seguente procedura per selezionare un singolo certificato:
Se il client non ha inviato alcun nome host SNI nel relativo
ClientHello, il bilanciatore del carico utilizza il primo certificato nell'elenco dei certificati.Se il client invia un nome host SNI che non corrisponde ad alcun nome comune (CN) del certificato e ad alcun nome alternativo del soggetto (SAN) del certificato, il bilanciatore del carico utilizza il primo certificato nell'elenco dei certificati.
In tutte le altre situazioni, il bilanciatore del carico seleziona un certificato utilizzando la seguente procedura di corrispondenza:
La corrispondenza viene eseguita in base al suffisso più lungo rispetto agli attributi del certificato nome comune (CN) e nome alternativo del soggetto (SAN), con una preferenza per i certificati ECDSA rispetto ai certificati RSA.
Per illustrare il metodo di corrispondenza, considera un proxy di destinazione che fa riferimento ai seguenti due certificati:
Certificato A
- CN:
cats.pets.example.com - SAN:
cats.pets.example.com,*.pets.example.com,*.example.com
- CN:
Certificato B
- CN:
dogs.pets.example.com - SAN:
dogs.pets.example.com,*.pets.example.com,*.example.com
- CN:
Ora considera i seguenti scenari:
- Se il nome host SNI inviato dal client è
cats.pets.example.com, il bilanciamento del carico utilizza il certificato A. - Se il nome host SNI inviato dal client è
ferrets.pets.example.com, non esiste una corrispondenza esatta, quindi il bilanciamento del carico seleziona il certificato A o il certificato B perché entrambi includono*.pets.example.comnel loro elenco SAN. In questa situazione non puoi controllare quale certificato viene selezionato.
- Se il nome host SNI inviato dal client è
Dopo aver selezionato un certificato, il bilanciatore del carico invia al client il certificato solo se il certificato selezionato utilizza un algoritmo di chiave pubblica compatibile con una crittografia inviata dal client in
ClientHello. La negoziazione TLS non va a buon fine se il client non supporta una suite di crittografia che include l'algoritmo della chiave pubblica (ECDSA o RSA) del certificato selezionato dal bilanciatore del carico.
Prezzi
Quando utilizzi i bilanciatori del carico Google Cloud , ti vengono addebitati costi di rete. Per ulteriori informazioni, consulta la pagina Tutti i prezzi di networking. Per i prezzi di Certificate Manager, consulta la sezione Prezzi nella documentazione di Certificate Manager. Non vengono addebitati costi aggiuntivi per l'utilizzo delle risorse dei certificati SSL di Compute Engine.
Passaggi successivi
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
Inizia gratuitamente