一般網站走http / https...如果是走憑證加密雖然遠比沒有憑證來的安全許多,但實際上仍有不少SSL上的安全漏洞的風險疑慮,故本次就要透過SSL Policy使你能夠強制SSL Proxy或https負載平衡服務與客戶端做連線間的加密協議

你可以使用SSL Policy配置HTTPS或SSL Proxy負載平衡中啟用的最小TLS版本功能。SSL Policy會影響用戶與HTTPS或SSL Proxy負載平衡之間的連接（圖中連接1）。 SSL Policy不會影響負載平衡和後端間的連接（圖中連接2）。

這次就來給它實測一下吧!一樣是網路下選到SSL安全傳輸政策

來建立吧!

有直接限制最低的TLS版本....

另外在資料傳輸部份也有非常多的鑰密支援類型從比較鬆散到嚴謹的

測試就給他選...最硬的@@...又在自找麻煩的概念

OK,規則設定好了

因為安全傳輸政策也是綁在負載平衡上才能運作,我就用中間這組LB來做(因為只有這組後端GCE有開機啦)

直接點進去此LB內編輯它,在前端部份本來都走http如果不要可以移除

新增就好啦!可以同時支援80/443的...不過問題來了!我沒有憑證來建立看看

可以新增自己的第三方公開憑證(我當然是沒有喽!)

選擇新增憑證只叫我建立一組網域(應該就是公開能夠查詢到的,設定我GoDaddy上的網域名稱)

憑證就可以選擇喽!

有沒有...憑證安全政策就在此設置堡壘

QUIC解釋一下：
全名為快速UDP網路連結（Quick UDP Internet Connections），它以UDP （User Datagram Protocol，使用者封包通訊協定）來取代TCP（Transmission Control Protocol，傳輸控制通訊協定），以在傳輸層安全性協定（Transport Layer Security，TLS）上串流各種協定。

自Chrome連結至Google伺服器的流量是藉由QUIC。除了準備讓它成為客戶端程式的預設之外，Google也打算將它提交給網際網路工程工作小組（IETF），以期成為正式的網路標準。
廢話一堆....就還是自動阿!!

設定好就多了新的一筆前端https端點,直接來更新

設定完成LB上就多了一筆Public IP記得是要到GoDaddy上的DNS管理多設定一筆A紀錄做對應的

在GoDaddy上DNS管理做設定對應

疑!連線測試前在我的LB憑證處一直出現此錯誤@@

查一下這錯誤發現就是憑證是無效的..簡單說就是無法驗證這網域啦@@

先用IP連線https看一下憑證根本就沒法信任...還過期的@@

突然靈機一動...申請的憑證不是都有共同名稱...我一直以為是自訂名稱+網域名稱就會是完整憑證名稱...不信邪在申請一次(這次網域改打完整名稱)

疑!不一樣沒有出現錯誤

等了大概有快20分鐘....耶呼!生效了啦

憑證OK了

這是走非TLS1.2則直接拒絕

僅允許走TLS1.2安全加密驗證,網頁顯示正常

以上就是今天對於GCP的SSL Policy初體驗啦!為了憑證卡真久@@......先這樣哩!81