No meu post anterior, falei sobre como implementar certificado SSL em hospedagem compartilhada, servidor Cloud/VPS, Cloudflare etc. e alguns de vocês perguntaram como fazer isso no Load Balancer (LB).
É uma boa ideia encerrar o handshake SSL em um dispositivo de borda de rede por vários motivos.
- É mais rápido
- Você pode fazer alterações em tempo real
- Manutenção fácil
- Proteção SSL/TLS gerenciada por LB
O Google Cloud Platform (GCP) é fantástico , e eu uso para o Geek Flare e simplesmente adoro. O GCP oferece muitas soluções em nuvem, incluindo o balanceador de carga.
Existem três tipos de balanceador de carga disponíveis e, se você estiver hospedando Webaplicativos baseados em, então O tipo HTTP(S) é recomendado.
Vamos ver como implementar certificado SSL no balanceador de carga HTTP(S) do Google Cloud.
Para este exercício, usarei meu domínio de laboratório (techpostal.com) para encaminhar o tráfego para a VM do mecanismo de computação (Nginx) por meio do LB.
Presumo que você já tenha o seguinte pronto.
- Servidor web em execução
- LB HTTP(S) com porta 80
Implementando certificado no Google Cloud LB
- Faça login no Google Cloud >> Serviços de rede >> Balanceamento de carga ( link direto )
- Clique em editar para o respectivo LB
- Vá para a configuração do front-end >> Adicionar IP e porta do front-end
- Selecione o protocolo como HTTPS
- Deixei o IP como efêmero, mas em um sistema de produção é recomendável ter um estático
- Clique na lista suspensa Certificado e clique em “Criar um novo certificado”.
Ele solicitará outra janela onde você pode inserir chave privada, certificado público e de cadeia.
- Vamos obter o CSR (solicitação de assinatura de certificado) criado usando OpenSSL
openssl req -out techpostal.csr -newkey rsa:2048 -nodes -keyout techpostal.key
- Insira as informações necessárias conforme solicitado
- Você notará que uma chave e um arquivo CSR foram criados
root@web-server:~# ls -ltr -rw-r--r-- 1 root root 1704 Sep 2 06:56 techpostal.key -rw-r--r-- 1 root root 1017 Sep 2 06:56 techpostal.csr root@web-server:~#
Agora você precisa enviar este CSR para uma autoridade de certificação para assiná-lo. estou usando Vamos criptografar para assinar meu certificado e inserir esses detalhes e clicar em “criar”.
Há mais Certificado SSL GRATUITO provedor se você quiser explorar.
- Clique em Concluído e depois em Atualizar
Vamos obter os detalhes do IP do front-end expandindo o LB
Agora, você precisa atualizar seu domínio Uma gravação para apontar o IP do balanceador de carga no registrador de domínio. Feito isso, tente acessar sua URL com https e deve funcionar.
Isso conclui O handshake SSL para techpostal.com está sendo encerrado no balanceador de carga.
O Google Cloud cuida do necessário Proteção SSL/TLS para garantir que não seja exposto a um protocolo conhecido, vulnerabilidades de cifra. Fiz um teste no SSL Labs e obtive Uma classificação.
Espero que este guia rápido ajude você a habilitar o SSL no Google LB para seu domínio.
