Skip to main content

Configuração de SSL/TLS no Load Balancer

Introdução

A configuração de SSL/TLS no Load Balancer as a Service (LBaaS) permite proteger a comunicação entre clientes e servidores backends, garantindo criptografia e segurança dos dados em trânsito. Essa funcionalidade é essencial para aplicações que exigem privacidade e conformidade com normas de segurança.

Etapas para Configuração de SSL/TLS

1. Criar um Certificado SSL/TLS

Antes de configurar o Load Balancer, é necessário um certificado SSL/TLS válido. Esse certificado pode ser:

  • Emitido por uma Autoridade Certificadora (CA)
  • Um certificado autoassinado (para testes)

2. Adicionar um Certificado ao Load Balancer

Após obter um certificado, ele deve ser carregado no Load Balancer.

  • Endpoint: POST /v0beta1/network-load-balancers/{load_balancer_id}/certificates
  • Parâmetros principais:
    • name: Nome do certificado
    • certificate: Certificado em formato PEM
    • private_key: Chave privada correspondente ao certificado
    • chain_certificate: (Opcional) Certificado intermediário

3. Configurar um Listener com SSL/TLS

O Listener precisa ser configurado para utilizar SSL/TLS e o certificado correspondente.

  • Endpoint: POST /v0beta1/network-load-balancers/{load_balancer_id}/listeners
  • Parâmetros principais:
    • protocol: Definir como TLS
    • port: Porta de entrada (exemplo: 443 para HTTPS)
    • certificate_id: ID do certificado carregado anteriormente

4. Listar Certificados Configurados Para visualizar os certificados disponíveis no Load Balancer:

  • Endpoint: GET /v0beta1/network-load-balancers/{load_balancer_id}/certificates
  • Retorna a lista de certificados carregados e seus detalhes.

5. Remover um Certificado

Caso um certificado precise ser substituído ou removido, use:

  • Endpoint: DELETE /v0beta1/network-load-balancers/{load_balancer_id}/certificates/{certificate_id}

Boas Práticas

  • Utilize certificados confiáveis: Prefira certificados emitidos por uma CA reconhecida.
  • Renove certificados regularmente: Evite expiração inesperada e interrupções de serviço.
  • Habilite protocolos seguros: Desative versões inseguras do TLS (ex: TLS 1.0 e 1.1) e use TLS 1.2 ou superior.
  • Ative Perfect Forward Secrecy (PFS): Melhora a segurança das chaves de criptografia.