Nachdem Sie Media CDN-Dienst(e) erstellt haben, können Sie SSL-Zertifikate (TLS) ausstellen und anhängen, um eine sichere Verbindung in Browsern und mobilen Anwendungen zu ermöglichen.
Verwaltetes Zertifikat ausstellen
So erstellen Sie ein verwaltetes Zertifikat und hängen es an Ihren Media CDN-Dienst an:
- Demonstrieren Sie die Inhaberschaft („Autorisierung“) der Domains, für die Sie Zertifikate ausstellen möchten, indem Sie ein Challenge-Token erstellen und einen DNS-Eintrag hinzufügen.
- Erstellen Sie ein Zertifikat vom Typ
EDGE_CACHE
mit einem oder mehreren Domainnamen, die auf dieser Autorisierung basieren. - Hängen Sie dieses Zertifikat an einen oder mehrere Edge-Cache-Dienste an.
Sie benötigen die folgenden Berechtigungen für die Identitäts- und Zugriffsverwaltung, um Zertifikate zu autorisieren, zu erstellen und an einen Edge-Cache-Dienst anzuhängen:
certificatemanager.certs.create
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
certificatemanager.dnsauthorizations.create
certificatemanager.dnsauthorizations.get
certificatemanager.dnsauthorizations.list
certificatemanager.dnsauthorizations.use
Nutzer, die ein vorhandenes Zertifikat an einen Media CDN-Dienst anhängen müssen, benötigen die IAM-Berechtigungen certificatemanager.certs.get
und certificatemanager.certs.list
.
Hinweis
- Sie benötigen einen registrierten Domainnamen, für den Sie öffentliche DNS-Einträge aktualisieren können.
- Übersicht über SSL-Zertifikate.
DNS-Autorisierung erstellen
Bevor Sie Zertifikate für die Domain ausstellen können, müssen Sie zuerst eine DNS-Autorisierung erstellen. Die DNS-Autorisierung verwendet die DNS-01-ACME-Herausforderung und ermöglicht Ihnen, ein Zertifikat auszustellen, bevor nutzerseitiger Traffic an Ihren Edge-Cache-Dienst weitergeleitet wird.
Legen Sie den Wert von domain
auf den Domainnamen fest, für den Sie ein Zertifikat erstellen möchten:
gcloud
Führen Sie den Befehl gcloud certificate-manager dns-authorizations
aus:
gcloud certificate-manager dns-authorizations create DOMAIN_NAME_AUTH \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe DOMAIN_NAME_AUTH
Die gcloud CLI gibt eine Antwort mit den Details des DNS-Eintrags zurück, den Sie hinzufügen müssen.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.example.com. type: CNAME domain: example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Wenn Sie Cloud DNS für Ihre Domain verwenden, lesen Sie die Schritte zum Hinzufügen eines neuen Eintrags zu Ihrer gehosteten Domain. Wenn Sie einen anderen DNS-Anbieter verwenden, lesen Sie die Dokumentation zum Hinzufügen eines CNAME-Eintrags.
- Sie können diesen Schritt für jede Domain wiederholen, für die Sie ein Zertifikat ausstellen müssen.
- Zertifikate können mehrere Domains enthalten oder Sie können nach Bedarf ein Zertifikat pro Domain ausstellen. Nachdem Sie eine Autorisierung für eine Domain haben, können Sie damit Zertifikate ausstellen.
- Wir empfehlen, weniger Gesamtzertifikate mit jeweils allen für Ihren Dienst verwendeten Domainnamen zu erstellen. Dies verbessert die Clientleistung bei Verwendung mehrerer Domains, da Clients häufiger von der TLS-Wiederaufnahme profitieren können.
- Jeder Edge Cache-Dienst kann auf bis zu fünf Zertifikate verweisen. Wenn Sie weniger Zertifikate ausstellen, können Sie dieses Limit einhalten.
Wenn Sie die DNS-Eintragswerte später abrufen müssen, stellen Sie eine Anfrage für den authorizationName
, den Sie beim Erstellen der DNS-Autorisierung angegeben haben:
Zertifikat erstellen
Nachdem Sie den DNS-Eintrag hinzugefügt haben, der die Inhaberschaft der Domains angibt, für die Sie ein Zertifikat erstellen möchten, können Sie eine Anfrage zur Zertifikaterstellung senden.
Die Liste der dnsAuthorizations
muss mit den Namen vorhandener Autorisierungen übereinstimmen, die Sie zuvor im Prozess erstellt haben. Wenn Sie demselben Zertifikat mehrere Domains hinzufügen möchten, geben Sie beim Senden der Anfrage eine Liste mit domains[]
und einem übereinstimmenden dnsAuthorizations[]
an.
So erstellen Sie ein Zertifikat mit einer Autorisierung für test.example.com
namens test-example-com
:
gcloud
Führen Sie den Befehl gcloud certificate-manager certificates
aus:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME" \ --dns-authorizations="DOMAIN_NAME_AUTH" \ --scope=EDGE_CACHE
Dadurch wird ein Zertifikat mit jeder DNS-Autorisierung im Status AUTHORIZING
und das Zertifikat im Status PROVISIONING
erstellt:
Create request issued for: [DOMAIN_NAME] Waiting for operation [projects/my-project/locations/global/operations/operatio n-1613425627385-5bb66ed644e91-3e2a2f1f-71979cf8] to complete...done. Created certificate [CERTIFICATE_NAME].
Es kann einige Minuten (bis zu einer Stunde) dauern, bis die Zertifikaterstellung abgeschlossen ist. Dies hängt von folgenden Faktoren ab:
- Wie schnell Ihr DNS-Anbieter Konfigurationsänderungen weiterleitet.
- Die Anzahl der Domains, für die Sie Zertifikate validieren und erstellen möchten.
Das Feld state
zeigt den aktuellen Status des Zertifikats an:
- BEREITSTELLUNG – Das Zertifikat wird noch bereitgestellt. Dies liegt wahrscheinlich daran, dass die Anfrage zur Zertifikaterstellung erst kürzlich gestellt wurde.
- FEHLGESCHLAGEN: wird zurückgegeben, wenn die Domain validiert oder das Zertifikat ausgestellt wurde. Weitere Informationen finden Sie in den Feldern
provisioning_issue
,authorization_attempt_info
undfailure_reason
. - AKTIV – die Domain wurde erfolgreich validiert und das Zertifikat wurde bereitgestellt.
So prüfen Sie den Status des Zertifikats:
gcloud
Führen Sie den Befehl gcloud certificate-manager certificates
aus:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
In diesem Beispiel lautet die DNS-Autorisierung AUTHORIZED
und der Zertifikatstatus ACTIVE
:
createTime: '2021-02-07T20:03:39.867762684Z' expireTime: '2021-03-09T19:20:41Z' managed: authorizationAttemptInfo: - domain: DOMAIN_NAME state: AUTHORIZED dnsAuthorizations: - projects/111111111111/locations/global/dnsAuthorizations/test-example-com domains: - DOMAIN_NAME state: ACTIVE name: projects/my-project/locations/global/certificates/test-example-com scope: EDGE_CACHE subjectAlternativeNames: - DOMAIN_NAME updateTime: '2021-02-07T20:03:40.297242738Z'
Wenn das Zertifikat ACTIVE
ist, können Sie es an einen Edge-Cache-Dienst anhängen.
Zertifikate an einen Dienst anhängen
Nachdem Sie ein verwaltetes Zertifikat erstellt haben, können Sie es mit einem oder mehreren Ihrer Edge-Cache-Dienste verknüpfen.
Zertifikate können sowohl an vorhandene als auch an neue Dienste angehängt werden, indem die Liste edgeSslCertificates
im Dienst aktualisiert wird.
Sie benötigen die folgenden IAM-Berechtigungen, um Zertifikate an einen Edge Cache-Dienst anzuhängen:
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
networkservices.edgeCacheServices.get
networkservices.edgeCacheServices.list
networkservices.edgeCacheServices.update
Führen Sie die folgenden Schritte aus, um ein Zertifikat an einen Dienst anzuhängen.
gcloud
Führen Sie den Befehl gcloud edge-cache services export
aus, um die YAML-Datei des Dienstes zu exportieren:
gcloud edge-cache services export MY_SERVICE \ --destination=my-service.yaml
Bearbeiten Sie die exportierte YAML-Datei, um Ihr Zertifikat hinzuzufügen:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Führen Sie den Befehl gcloud edge-cache services import
aus:
gcloud edge-cache services import MY_SERVICE \ --source=my-service.yaml
Ausgabe:
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE]
Der Befehl gibt eine Beschreibung Ihres Dienstes zurück, einschließlich der Liste der jetzt angehängten edgeSslCertificates
:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Nachdem Sie die Konfiguration aktualisiert haben, wird das Zertifikat innerhalb von Minuten an alle Edge-Standorte weitergegeben. Um zu testen, ob das Zertifikat mit Ihrem Edge-Cache-Dienst verknüpft ist, bevor Sie DNS-Änderungen vornehmen, können Sie eine Anfrage an die IPv4- oder IPv6-Adresse senden, die mit Ihrem Dienst verknüpft ist.
Zertifikate ersetzen und entfernen
Um Zertifikate hinzuzufügen und zu entfernen, aktualisieren Sie die Liste der Zertifikate.
Bei Verwendung des Flags --edge-ssl-certificate
der gcloud CLI werden Zertifikate nur an die Liste der vorhandenen Zertifikate angehängt und nicht ersetzt. Dadurch wird verhindert, dass Sie versehentlich ein gültiges, aktives Zertifikat entfernen.
Im folgenden Beispiel können Sie das Zertifikat test-example-com
aus unserem Dienst entfernen, indem Sie Ihren Dienst mithilfe der Import- und Exportbefehle nach YAML exportieren.
name: my-service edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/test-example-com - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Die folgenden Befehle zeigen, wie Sie den Dienst exportieren, die Zertifikatsreferenz entfernen und den aktualisierten Dienst importieren.
gcloud
Führen Sie den Befehl gcloud edge-cache services
aus:
gcloud edge-cache services export MY_SERVICE --destination=my-service.yaml
Exported [projects/my-project/locations/global/edgeCacheServices/MY_SERVICE] to 'my-service.yaml'.
Entfernen Sie mit Ihrem bevorzugten Texteditor die Zertifikate, die der Dienst nicht mehr verwenden soll:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Speichern Sie die geänderte Datei und importieren Sie dann den aktualisierten Dienst:
gcloud
Führen Sie den Befehl gcloud edge-cache services
aus:
gcloud edge-cache services import MY_SERVICE --source=my-service.yaml
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE].
Die Anzahl der Dienste, mit denen ein Zertifikat verknüpft werden kann, ist nicht begrenzt. Jeder Edge Cache-Dienst kann auf bis zu fünf Zertifikate verweisen.
Selbstverwaltete Zertifikate
Sie können Ihre eigenen Zertifikate in Media CDN hochladen, wenn es bestimmte Anwendungsfälle gibt.
So laden Sie ein Zertifikat und den zugehörigen Schlüssel in Certificate Manager hoch:
gcloud
Führen Sie den Befehl gcloud certificate-manager certificates
aus. Achten Sie darauf, dass Sie --scope=EDGE_CACHE
für Zertifikate angeben, die mit Media CDN verknüpft sind.
gcloud certificate-manager certificates create stream-example-com \ --certificate-file=CERT.pem \ --private-key-file=PRIVATE_KEY.pem \ --scope=EDGE_CACHE
Create request issued for: [stream-example-com] Created certificate [stream-example-com].
Nachdem das Zertifikat hochgeladen wurde, können Sie es wie ein verwaltetes Zertifikat an einen EdgeCacheService anhängen.
Fehlerbehebung bei der Ausstellung von Zertifikaten
In der Anleitung zur Fehlerbehebung erfahren Sie, wie Sie häufige Fehler bei der Autorisierung und Ausstellung von Zertifikaten beheben können.
Nächste Schritte
- Alle HTTP-Anfragen an HTTPS weiterleiten, um die Kommunikation standardmäßig zu verschlüsseln
- Anfragelogs mit Logging ansehen
- Signierte Anfragen zum Schutz Ihrer Inhalte konfigurieren
- Cache-Schlüssel und TTLs optimieren, um die Cache-Trefferquoten zu verbessern
- Den erweiterten Routenabgleich konfigurieren und zusätzliche Ursprünge hinzufügen