In meinem vorherigen Beitrag habe ich darüber gesprochen, wie es geht Implementieren Sie das SSL-Zertifikat auf Shared Hosting, Cloud / VPS-Server und Cloudflareusw. und einige von Ihnen fragten wie es auf Load Balancer (LB) geht.
Es ist aus vielen Gründen eine gute Idee, den SSL-Handshake an einem Netzwerk-Edge-Gerät zu beenden.
- Es ist schneller
- Sie können Änderungen im laufenden Betrieb vornehmen
- Einfache Wartung
- SSL / TLS-Härtung wird von LB verwaltet
Google Cloud Platform (GCP) ist fantastisch, und ich benutze für Geek Flare und liebe es einfach. GCP bietet viele Cloud-Lösungen, einschließlich des Load Balancers.
Es stehen drei Arten von Load Balancer zur Verfügung. Wenn Sie webbasierte Anwendungen hosten, ist dies der Fall Der HTTP (S) -Typ wird empfohlen.
Werfen wir einen Blick auf die Implementierung SSL-Zertifikat in Google Cloud HTTP (S) Load Balancer.
In dieser Übung verwende ich meine Labordomäne (techpostal.com), um den Datenverkehr zur Berechnung der Engine-VM (Nginx) über LB weiterzuleiten.
Ich gehe davon aus, dass Sie bereits Folgendes bereit haben.
- Webserver ausführen
- HTTP (S) LB mit Port 80
Implementing Certificate on Google Cloud LB
- Anmelden bei Google Cloud >> Netzwerkdienste >> Lastausgleich (direkte Link)
- Klicken Sie für die jeweilige LB auf Bearbeiten
- Gehen Sie zur Frontend-Konfiguration >> Frontend-IP und -Port hinzufügen
- Wählen Sie das Protokoll als HTTPS aus
- Ich habe IP als kurzlebig belassen, aber in einem Produktionssystem wird empfohlen, eine statische zu haben
- Dropdown-Zertifikat und klicken Sie auf "Neues Zertifikat erstellen".
Es wird ein weiteres Fenster angezeigt, in das Sie eintreten können privater Schlüssel, öffentliches und Kettenzertifikat.
- Lassen Sie uns die CSR (Certificate Signing Request) erstellen, die mit erstellt wurde OpenSSL
openssl req -out techpostal.csr -newkey rsa: 2048 -nodes -keyout techpostal.key
- Geben Sie die erforderlichen Informationen nach Aufforderung ein
- Sie werden feststellen, dass eine Schlüssel- und CSR-Datei erstellt wurde
root @ web-server: ~ # ls -ltr -rw-r - r-- 1 root root 1704 2. September 06:56 techpostal.key -rw-r - r-- 1 root root 1017 2. September 06:56 techpostal.csr root @ web-server: ~ #
Jetzt müssen Sie diese CSR an eine Zertifizierungsstelle senden, um sie zu signieren. ich benutze Lass uns verschlüsseln Um mein Zertifikat zu unterschreiben und diese Details eingegeben zu haben, klicken Sie auf "Erstellen".
Da sind mehr KOSTENLOSES SSL-Zertifikat Anbieter, wenn Sie erkunden möchten.
- Klicken Sie auf Fertig und dann auf Aktualisieren
Lassen Sie uns die IP-Details des Frontends durch Erweitern der LB abrufen
Jetzt müssen Sie Ihre Domain aktualisieren Ein Rekord um die Load Balancer-IP auf den Domain-Registrar zu verweisen. Versuchen Sie anschließend, mit https auf Ihre URL zuzugreifen. Dies sollte funktionieren.
Dies schließt Der SSL-Handshake für techpostal.com wird am Load Balancer beendet.
Google Cloud kümmert sich um das Notwendige SSL / TLS-Härtung Verschlüsseln Sie Sicherheitslücken, um sicherzustellen, dass es keinem bekannten Protokoll ausgesetzt ist. Ich habe einen Test bei SSL Labs gemacht und bekommen Eine Bewertung.
Ich hoffe, diese Kurzanleitung hilft Ihnen dabei, SSL in Google LB für Ihre Domain zu aktivieren.
