如何在Google Cloud Load Balancer上配置SSL证书（） _SSL

在我以前的文章中, 我谈到了如何在共享主机, Cloud / VPS服务器, Cloudflare等上实现SSL证书, 并且有些人问如何在负载均衡器(LB)上实现SSL证书。
出于多种原因, 终止网络边缘设备上的SSL握手是一个好主意。

更快
你可以随时进行更改
维修方便
LB管理的SSL / TLS加固

Google Cloud Platform(GCP)很棒, 我使用Geek Flare并喜欢它。 GCP提供了许多云解决方案, 包括负载均衡器。
负载平衡器有三种类型, 如果你托管基于Web的应用程序, 则建议使用HTTP(S)类型。

文章图片
让我们看一下如何在Google Cloud HTTP(S)负载均衡器上实施SSL证书。
在本练习中, 我将使用我的实验室域(techpostal.com)通过LB将流量转发到计算引擎VM(Nginx)。

文章图片
我认为你已经准备好以下内容。

运行网络服务器
具有端口80的HTTP(S)LB

在Google Cloud LB上实施证书

登录到Google Cloud > > 网络服务> > 负载平衡(直接链接)
单击相应LB的编辑

文章图片

转到前端配置> > 添加前端IP和端口
选择协议为HTTPS
我暂时不使用IP, 但是在生产系统中, 建议你使用静态
下拉证书, 然后单击” 创建新证书” 。

文章图片
它将提示另一个窗口, 你可以在其中输入私钥, 公共和链证书。

让我们获取使用OpenSSL创建的CSR(证书签名请求)

openssl req -out techpostal.csr -newkey rsa:2048 -nodes -keyout techpostal.key

根据提示输入必要的信息
你会注意到已创建密钥和CSR文件

[email protected]:~# ls -ltr -rw-r--r-- 1 root root 1704 Sep 2 06:56 techpostal.key -rw-r--r-- 1 root root 1017 Sep 2 06:56 techpostal.csr [email protected]:~#

现在, 你需要将此CSR发送到证书颁发机构以对其进行签名。我正在使用” 加密” 签名我的证书, 并输入了这些详细信息, 然后单击” 创建” 。

文章图片
如果你想探索更多免费的SSL证书提供商。

单击完成, 然后更新

文章图片
通过扩展LB获得前端IP详细信息

文章图片
现在, 你必须更新域A记录, 以将负载均衡器IP指向域注册商。完成后, 尝试使用https访问你的URL, 它应该可以工作。

文章图片
【如何在Google Cloud Load Balancer上配置SSL证书（）】这说明techpostal.com的SSL握手已在负载均衡器处终止。
Google Cloud会采取必要的SSL / TLS强化措施, 以确保它不会暴露于已知协议和密码漏洞中。我在SSL实验室进行了测试, 并获得了A级评价。