在我以前的文章中, 我谈到了如何在共享主机, Cloud / VPS服务器, Cloudflare等上实现SSL证书, 并且有些人问如何在负载均衡器(LB)上实现SSL证书。
出于多种原因, 终止网络边缘设备上的SSL握手是一个好主意。
- 更快
- 你可以随时进行更改
- 维修方便
- LB管理的SSL / TLS加固
Google Cloud Platform(GCP)很棒, 我使用Geek Flare并喜欢它。 GCP提供了许多云解决方案, 包括负载均衡器。
负载平衡器有三种类型, 如果你托管基于Web的应用程序, 则建议使用HTTP(S)类型。
让我们看一下如何在Google Cloud HTTP(S)负载均衡器上实施SSL证书。
在本练习中, 我将使用我的实验室域(techpostal.com)通过LB将流量转发到计算引擎VM(Nginx)。
我认为你已经准备好以下内容。
- 运行网络服务器
- 具有端口80的HTTP(S)LB
在Google Cloud LB上实施证书
- 登录到Google Cloud >>网络服务>>负载平衡(直接链接)
- 单击相应LB的编辑
- 转到前端配置>>添加前端IP和端口
- 选择协议为HTTPS
- 我暂时不使用IP, 但是在生产系统中, 建议你使用静态
- 下拉证书, 然后单击”创建新证书”。
它将提示另一个窗口, 你可以在其中输入私钥, 公共和链证书。
- 让我们获取使用OpenSSL创建的CSR(证书签名请求)
openssl req -out techpostal.csr -newkey rsa:2048 -nodes -keyout techpostal.key
- 根据提示输入必要的信息
- 你会注意到已创建密钥和CSR文件
[email protected]:~# ls -ltr
-rw-r--r-- 1 root root 1704 Sep 2 06:56 techpostal.key
-rw-r--r-- 1 root root 1017 Sep 2 06:56 techpostal.csr
[email protected]:~#
现在, 你需要将此CSR发送到证书颁发机构以对其进行签名。我正在使用”加密”签名我的证书, 并输入了这些详细信息, 然后单击”创建”。
如果你想探索更多免费的SSL证书提供商。
- 单击完成, 然后更新
通过扩展LB获得前端IP详细信息
现在, 你必须更新域A记录, 以将负载均衡器IP指向域注册商。完成后, 尝试使用https访问你的URL, 它应该可以工作。
这说明techpostal.com的SSL握手已在负载均衡器处终止。
Google Cloud会采取必要的SSL / TLS强化措施, 以确保它不会暴露于已知协议和密码漏洞中。我在SSL实验室进行了测试, 并获得了A级评价。
希望本快速指南能帮助你在域的Google LB上启用SSL。