Depois de criar um serviço de CDN de mídia, é possível emitir e anexar certificados SSL (TLS) para oferecer suporte à conectividade segura em navegadores e aplicativos móveis.
Emitir um certificado gerenciado
Para criar um certificado gerenciado e anexá-lo ao seu serviço do Media CDN, faça o seguinte:
- Demonstre a propriedade ("autorização") dos domínios para os quais você quer emitir certificados criando um token de desafio e adicionando um registro DNS.
- Crie um certificado do tipo
EDGE_CACHE
com um ou mais nomes de domínio com base nesta autorização. - Anexe esse certificado a um ou mais serviços de cache do Edge.
É necessário ter as seguintes permissões do Identity and Access Management para autorizar, criar e anexar certificados a um serviço de cache do Edge:
certificatemanager.certs.create
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
certificatemanager.dnsauthorizations.create
certificatemanager.dnsauthorizations.get
certificatemanager.dnsauthorizations.list
certificatemanager.dnsauthorizations.use
Os usuários que precisam anexar um certificado existente a um serviço de CDN de mídia precisam das permissões do IAM certificatemanager.certs.get
, certificatemanager.certs.list
e certificatemanager.certs.use
.
Antes de começar
- Você precisa ter um nome de domínio registrado em que seja possível atualizar os registros DNS públicos.
- Leia a Visão geral dos certificados SSL.
Criar uma autorização de DNS
Primeiro, você precisa criar uma autorização de DNS para demonstrar a propriedade do domínio antes de emitir certificados para ele. A autorização de DNS usa a solicitação DNS-01 ACME e permite emitir um certificado antes de direcionar o tráfego do usuário para o serviço de cache de borda.
Defina o valor de domain
como o nome de domínio para o qual você pretende criar um certificado, conforme abaixo:
gcloud
Use o comando gcloud certificate-manager dns-authorizations
:
gcloud certificate-manager dns-authorizations create DOMAIN_NAME_AUTH \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe DOMAIN_NAME_AUTH
A CLI gcloud retorna uma resposta com os detalhes do registro DNS que você precisa adicionar.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.example.com. type: CNAME domain: example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
Se você estiver usando o Cloud DNS para seu domínio, consulte as etapas para adicionar um novo registro ao domínio hospedado. Se você estiver usando outro provedor de DNS, consulte a documentação dele para adicionar um registro CNAME.
- Repita essa etapa para cada domínio em que você precisa emitir um certificado.
- Os certificados podem conter vários domínios ou você pode emitir um certificado por domínio, conforme necessário. Depois de ter uma autorização para um domínio, você pode usá-la para emitir certificados.
- Recomendamos criar menos certificados, cada um com todos os nomes de domínio usados para o serviço. Isso melhora a performance do cliente ao usar vários domínios, porque os clientes podem se beneficiar da retomada do TLS com mais frequência.
- Cada serviço de armazenamento em cache de borda pode referenciar até cinco certificados. Ao emitir menos certificados, você pode permanecer dentro desse limite.
Se você precisar recuperar os valores do registro DNS em uma data posterior, faça uma solicitação
para o authorizationName
que você forneceu ao criar a autorização
do DNS:
Criar um certificado
Depois de adicionar o registro DNS que demonstra a propriedade dos domínios para os quais você quer criar um certificado, é possível emitir uma solicitação de criação de certificado.
A lista de dnsAuthorizations
precisa corresponder aos nomes das autorizações
criadas anteriormente no processo. Se você quiser adicionar vários
domínios ao mesmo certificado, forneça uma lista de domains[]
e
dnsAuthorizations[]
correspondentes ao fazer a solicitação.
Para criar um certificado usando uma autorização para test.example.com
chamada
test-example-com
:
gcloud
Use o comando gcloud certificate-manager certificates
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME" \ --dns-authorizations="DOMAIN_NAME_AUTH" \ --scope=EDGE_CACHE
Isso cria um certificado com cada autorização DNS no estado AUTHORIZING
e o certificado no estado PROVISIONING
:
Create request issued for: [DOMAIN_NAME] Waiting for operation [projects/my-project/locations/global/operations/operatio n-1613425627385-5bb66ed644e91-3e2a2f1f-71979cf8] to complete...done. Created certificate [CERTIFICATE_NAME].
Terraform
A criação do certificado pode levar alguns minutos (e até uma hora), dependendo do seguinte:
- A rapidez com que o provedor de DNS propaga as mudanças de configuração.
- Quantos domínios você está tentando validar e criar certificados.
O campo state
mostra o status atual do certificado:
- EM PROVISIONAMENTO: o certificado ainda está sendo provisionado. Isso provavelmente ocorre porque a solicitação de criação do certificado foi feita recentemente.
- FAILED: retornado após várias tentativas de validar o domínio
ou emitir o certificado. Para mais detalhes, consulte os campos
provisioning_issue
,authorization_attempt_info
efailure_reason
. - ATIVO: o domínio foi validado e o certificado foi provisionado.
Para verificar o status do certificado:
gcloud
Use o comando gcloud certificate-manager certificates
:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Neste exemplo, a autorização de DNS é AUTHORIZED
, e o estado
do certificado é ACTIVE
:
createTime: '2021-02-07T20:03:39.867762684Z' expireTime: '2021-03-09T19:20:41Z' managed: authorizationAttemptInfo: - domain: DOMAIN_NAME state: AUTHORIZED dnsAuthorizations: - projects/111111111111/locations/global/dnsAuthorizations/test-example-com domains: - DOMAIN_NAME state: ACTIVE name: projects/my-project/locations/global/certificates/test-example-com scope: EDGE_CACHE subjectAlternativeNames: - DOMAIN_NAME updateTime: '2021-02-07T20:03:40.297242738Z'
Depois que o certificado for ACTIVE
, você poderá anexá-lo a um
serviço de cache do Edge.
Anexar um certificado a um serviço
Depois de criar um certificado gerenciado, você pode
associá-lo a um ou mais serviços de armazenamento em cache próximo dos usuários finais.
Os certificados podem ser anexados a serviços novos e atuais atualizando a
lista de edgeSslCertificates
no serviço.
É necessário ter as seguintes permissões do IAM para anexar certificados a um serviço de cache de borda:
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
networkservices.edgeCacheServices.get
networkservices.edgeCacheServices.list
networkservices.edgeCacheServices.update
Para anexar um certificado a um serviço, siga estas etapas.
gcloud
Execute o comando gcloud edge-cache services export
para exportar o arquivo YAML do
serviço:
gcloud edge-cache services export MY_SERVICE \ --destination=my-service.yaml
Edite o arquivo YAML exportado para adicionar seu certificado:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Execute o comando gcloud edge-cache services import
:
gcloud edge-cache services import MY_SERVICE \ --source=my-service.yaml
Saída:
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE]
O comando retorna uma descrição do serviço, incluindo a
lista de edgeSslCertificates
agora anexada:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Depois que você atualiza a configuração, o certificado é propagado para todos os locais de borda em poucos minutos. Para testar se o certificado está associado ao seu serviço de cache do Edge antes de fazer mudanças no DNS, emita uma solicitação para o endereço IPv4 ou IPv6 associado ao serviço.
Substituir e remover certificados
É possível adicionar e remover certificados atualizando a lista de certificados.
Ao usar a flag --edge-ssl-certificate
da CLI gcloud,
os certificados são apenas anexados à lista de certificados existentes, e não
substituídos. Isso evita que você remova acidentalmente um certificado válido e ativo.
Para remover o certificado test-example-com
do nosso serviço no exemplo
a seguir, exporte o serviço para YAML usando os
comandos de importação e exportação.
name: my-service edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/test-example-com - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Os comandos a seguir mostram como exportar o serviço, remover a referência do certificado e importar o serviço atualizado.
gcloud
Use o comando gcloud edge-cache services
:
gcloud edge-cache services export MY_SERVICE --destination=my-service.yaml
Exported [projects/my-project/locations/global/edgeCacheServices/MY_SERVICE] to 'my-service.yaml'.
Remova os certificados que você não quer mais que o serviço use usando seu editor de texto preferido:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Salve o arquivo modificado e importe o serviço atualizado:
gcloud
Use o comando gcloud edge-cache services
:
gcloud edge-cache services import MY_SERVICE --source=my-service.yaml
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE].
Não há limite para o número de serviços com que um certificado pode ser associado, e cada serviço de armazenamento em cache de borda pode referenciar até cinco certificados.
Certificados autogerenciados
É possível fazer upload dos seus próprios certificados para o Media CDN se você tiver casos de uso específicos que exijam isso.
Para fazer upload de um certificado e da chave associada ao Gerenciador de certificados:
gcloud
Use o comando gcloud certificate-manager certificates
. Especifique
--scope=EDGE_CACHE
para certificados associados ao
Media CDN.
gcloud certificate-manager certificates create stream-example-com \ --certificate-file=CERT.pem \ --private-key-file=PRIVATE_KEY.pem \ --scope=EDGE_CACHE
Create request issued for: [stream-example-com] Created certificate [stream-example-com].
Depois que o certificado for enviado, você poderá anexá-lo a um EdgeCacheService como faria com um certificado gerenciado.
Resolver problemas de emissão de certificados
Consulte o guia de solução de problemas para saber como resolver erros comuns de autorização e emissão de certificados.
A seguir
- Redirecionar todas as solicitações HTTP para HTTPS para criptografar as comunicações por padrão
- Acessar registros de solicitações com o Logging
- Configurar solicitações assinadas para proteger seu conteúdo
- Otimizar chaves de cache e TTLs para melhorar as taxas de ocorrência em cache
- Configurar a correspondência de rota avançada e adicionar outras origens